Le reti EV stanno diventando un bersaglio. Con l'espansione delle infrastrutture e l'aumento del flusso di dati degli automobilisti attraverso le piattaforme connesse, la questione della sicurezza informatica EV sta passando dall'essere una preoccupazione tecnica a un requisito fondamentale per l'attività aziendale. Questo articolo spiega dove risiedono i veri punti vulnerabili e cosa devono proteggere gli operatori.

‍

Perché la sicurezza informatica EV è ormai una priorità aziendale

Le reti EV sono ormai considerate infrastrutture critiche in molti mercati: sono collegate alla rete elettrica, gestiscono i pagamenti e conservano dati personali su larga scala. Ciò le rende un bersaglio appetibile.

Gli operatori devono affrontare minacce su più livelli:

• Attacchi di tipo "credential stuffing" e attacchi tramite bot diretti contro i portali di accesso e registrazione dei conducenti
• Ransomware e vulnerabilità di accesso remoto che prendono di mira i sistemi di gestione delle stazioni di ricarica
• Vulnerabilità del protocollo nelle implementazioni OCPP .6 prive di profili di sicurezza aggiornati
• Violazioni dei dati che espongono le informazioni relative ai pagamenti dei conducenti e i loro dati personali
• Attacchi di phishing tramite codici QR apposti sui punti di ricarica fisici

Per CPOs gli EMSP, le conseguenze vanno ben oltre la semplice perdita di dati. Una piattaforma compromessa può mettere fuori uso un'intera rete, comportare rischi normativi ai sensi della direttiva NIS2 e minare la fiducia degli automobilisti su larga scala. La conformità in materia di sicurezza informatica EV sta diventando sempre più un requisito fondamentale per gli appalti, non più una semplice voce da spuntare dopo la messa in servizio.

‍

Cosa significa la sicurezza delle piattaforme per le reti EV

La maggior parte delle discussioni sulla sicurezza informatica in questo ambito si limita ai dispositivi di connettività: OCPP , aggiornamenti del firmware e segmentazione della rete. Tutti elementi necessari, ma non sufficienti. Il livello della piattaforma è altrettanto esposto e spesso viene trascurato.

I portali per i conducenti, EMSP , gli endpoint API e i flussi di autenticazione gestiscono milioni di interazioni e costituiscono un'ampia superficie di attacco poco protetta.

Per gli operatori che gestiscono reti su larga scala, garantire la sicurezza della piattaforma significa affrontare:

• Rafforzamento dell'autenticazione : protezione delle procedure di accesso, registrazione e recupero della password dagli attacchi automatizzati
• Prevenzione dei bot e delle frodi: blocco del traffico non umano che gonfia i dati delle sessioni, consente addebiti fraudolenti o compromette le prestazioni della piattaforma

I flussi di addebito ad hoc (in cui gli utenti avviano sessioni senza registrarsi) rappresentano un punto di vulnerabilità particolare. È proprio qui che l'integrazione di reCAPTCHA Ocean colma direttamente questa lacuna.

‍

‍

Come funziona nella pratica

reCAPTCHA è implementato nel Portale Ad-Hoc per autistiOcean, il flusso di addebito senza registrazione in cui gli autisti avviano le sessioni senza un account sulla piattaforma. Poiché l'addebito ad hoc non richiede alcun accesso, rappresenta un punto di ingresso aperto per l'avvio di sessioni fraudolente. Prima che qualsiasi sessione venga autorizzata, reCAPTCHA esegue una valutazione automatica del rischio in background, assegnando a ogni interazione un punteggio di affidabilità compreso tra 0,0 e 1,0. Le richieste che scendono al di sotto della soglia configurata vengono bloccate prima dell'avvio della sessione. Gli autisti legittimi non subiscono alcuna interruzione, poiché la convalida viene eseguita in modo silenzioso.

Per CPOs, la protezione è configurabile direttamente dal portale degli operatori. Gli operatori possono abilitare o disabilitare reCAPTCHA, impostare la soglia di punteggio in base alla propria tolleranza al rischio e configurare le credenziali dell'account di servizio richieste. Soglie più elevate comportano una convalida più rigorosa, consentendo di individuare un maggior numero di richieste sospette, con un margine più ristretto per i casi limite.

‍

Cosa comporta tutto ciò per il livello di sicurezza della tua rete

La sicurezza informatica EV sta passando dall'essere una "best practice" a diventare un requisito fondamentale. Le reti in grado di dimostrare l'adozione di controlli di sicurezza verificabili, un'architettura di piattaforma certificata e sistemi integrati di prevenzione degli abusi sono in una posizione migliore per aggiudicarsi CPO aziendali, soddisfare gli obblighi normativi e mantenere la fiducia degli automobilisti su larga scala.

Per i partner Ocean, ciò significa:

• Protezione reCAPTCHA integrata per il Portale Ad-Hoc per i conducenti - configurabile dagli operatori sin dal primo giorno, senza necessità di ulteriori sviluppi
• Minore esposizione al rischio di avvio fraudolento di sessioni, abuso delle credenziali e manipolazione delle sessioni su tutta la rete