Cybersecurity voor laadinfrastructuur van elektrisch vervoer

Cybersecurity noodzaak voor groei elektrisch vervoer

Veiligheid van het net en privacy van gegevens worden bepalend voor de ontwikkeling van elektrisch vervoer. Door er nu voor te zorgen, voorkomen we incidenten. En dat wekt vertrouwen bij de consument. Daarom sluiten diverse partners zich aan bij het initiatief van Nationaal Kennisplatform Laadinfrastructuur NKL en Innovatiecentrum ElaadNL om de basis te leggen voor een veilige groei van elektrisch vervoer in Nederland.

Oekraïne, 2015, een dag voor Kerst. Een operator van een energiecentrale ziet op een beeldscherm de cursor vanzelf bewegen. Die klikt systemen open en legt vervolgens een ondercentrale plat. De cursor klikt een volgend netwerk open. Weer valt een ondercentrale uit. Het telefoonnetwerk waarop mensen storingen kunnen melden, blijkt ook buiten werking. Niemand weet wat er gebeurt en wie getroffen is. Uiteindelijk zitten 200.000 Oekraïners door een hack zonder elektriciteit.

Welke impact zou zo’n hack op elektrisch vervoer kunnen hebben? Het elektrisch wagenpark is nu nog ‘gering’ met 100.000 voertuigen. Dat kan de komende jaren drastisch veranderen. Cybersecurity heeft invloed op die ontwikkeling: zie de impact van de problemen met de OV-chipkaart en de slimme meters.

Van hack tot diefstal

Wat zou er kunnen gebeuren als het net niet veilig is? Kwaadwillenden zouden met een onveilige software-update een auto kunnen hacken en de controle overnemen. En een bedrijf waar laadpalen staan, zou de data van alle auto’s van werknemers en bezoekers die op de laadpalen aansluiten, kunnen ‘lezen’ en zo privégegevens bemachtigen. Of iemand zou via de laadpalen in een parkeergarage kunnen zien of er dure auto’s staan, waar die geweest zijn, hoeveel ze verbruiken enzovoorts.

Partijen samen

Gelukkig hebben grote problemen zich tot nu toe nog niet voorgedaan. En de diverse partijen in de ‘laadketen’ willen dat ook zo houden. Ze hebben niet de illusie dat ze honderd procent veiligheid kunnen garanderen, maar energieleveranciers, laadpaalproducenten, overheden en technologen willen wel alles eraan doen om incidenten te voorkomen. Of in ieder geval de schade zoveel mogelijk te beperken. Daarom bracht NKL partijen samen tijdens een verdiepingssessie op 29 mei 2017 in Arnhem. Verscheidene organisaties, overheden en bedrijven sloten zich aan bij dit unieke initiatief. *

Uniek, omdat voor het eerst partijen vanuit heel diverse hoeken om de tafel zitten om de ontwikkelingen, bedreigingen en ook mogelijkheden rond cybersecurity in elektrisch vervoer inzichtelijk te krijgen. Dat is belangrijk: de elektriciteit en de data voor een elektrische auto komen langs vele bedrijven en organisaties. Denk aan een bedrijf waar een laadpaal staat, de exploitant van de laadpaal, de autofabrikant, ga zo maar door. Al is het contact soms maar een fractie van een seconde.

De NKL verdiepingssessie werd versterkt door speciale Elaad-lezingen die het onderwerp vanuit wisselend palet aan perspectieven belichtte. NKL en ElaadNL trekken hierin samen op.

Goed fundament

Juist nu er nog geen incidenten met grote impact zijn geweest en juist nu de markt van elektrisch vervoer nog een vlucht moet nemen, is dit hét moment om kennis te gaan delen en acties te bepalen. Nu is er nog geen imagoschade voor de hele keten, en is het minder ingewikkeld om maatregelen te nemen. “We moeten eerst een goed fundament hebben, voordat het systeem zich enorm uitbreidt”, stelt Harm van den Brink van ElaadNL.

Momenteel ontwikkelt de markt zich evolutionair en divers. Overzicht ontbreekt hierdoor. Verantwoordelijkheden beperken zich vaak alleen tot het eigen domein. Voor overzicht moet echter kennis gedeeld worden. Oók wanneer geen prettig nieuws is te melden, zoals een lek. Alle betrokken partijen moeten daarom open zijn, betoogt Achim Friedland van GraphDefined. In beleid en protocollen zal vastgelegd moeten wie wanneer verantwoordelijk is voor de data. Wie stelt die op? Liefst neemt de markt zelf in gezamenlijkheid het initiatief hiertoe, meent Roland Ferwerda van NKL. Maar onafhankelijke instanties zijn nodig voor keurmerken, certificaten, toezicht en naleving van regels.

Eén taal

De ketenpartners kunnen nu al maatregelen nemen en met bijvoorbeeld privacy impact assessments te weten komen waar mogelijke gevaren schuilen. In plaats van te reageren op een incident, kunnen ze die zo al vóór zijn. Of anders in ieder geval weten hoe in verscheidene scenario’s te handelen, om de schade te beperken.

Incidenten worden onder andere voorkomen wanneer partijen één ‘taal’ spreken: gestandaardiseerde systemen en onderdelen. Daarmee behoed je je voor gaten in het systeem of disconnecties. Er zouden ook standaarden moeten komen voor veiligheidseisen, kwaliteit en voorwaarden. Die kunnen in beleid en protocollen. Onafhankelijke partijen, zonder commerciële belangen, zouden toezicht moeten houden op de kwaliteit, certificaten afgeven, controleren op naleving van regels enzovoorts. Deze maatregelen bevorderen de veiligheid en vergroten het vertrouwen tussen partners en het vertrouwen van de consumenten. Eén incident hoeft slechts één auto-eigenaar te treffen, maar kan door aandacht ervoor de gehele sector van elektrisch vervoer raken.

Stimulerend beleid

Beleid leidt tot zekerheden en vertrouwen. Zeker voor overheden, als vertegenwoordiger van de publieke zaak, is dat interessant, willen ze in elektrisch vervoer investeren. Beleid kan echter ook de ontwikkeling verstoren wanneer het niet aansluit op marktontwikkelingen of achter de feiten aanloopt. Wanneer de markt het initiatief tot cybersecurity oppakt, zal de overheid daarom wel ook aan tafel moeten zitten. Ook hier geldt: met de juiste inzet heeft beleid weer een stimulerende werking.

Actielijst

Tijdens de verdiepingssessie van NKL brachten de ketenpartners samen in kaart welke situaties ze vóór moeten zijn en op welke wijze (zie de infographic hieronder voor een overzicht). Hieruit rest een vruchtbare, lange lijst. Welke punten pak je als eerste aan? Hiervoor zijn alle aandachtspunten geschaald naar: a. urgentie; b. kwetsbaarheid (ofwel: hoeveel partijen en mensen zouden betrokken zijn).

Netinstabiliteit zou een enorme impact hebben in Nederland, maar de kans dat die morgen optreedt is niet heel groot. Tegelijk vraagt netstabiliteit zoveel voorbereiding dat niet lang gewacht moet worden. Ander voorbeeld: energiediefstal is niet urgent en treft op dat moment weinig mensen. Tenzij de getroffene dit aan de grote klok hangt.

De slotopbrengst van de eerste verdiepingssessie cybersecurity is een lijst aan acties langs zes thema’s, zoals rechts in de infographic is te zien: beleid, data, privacy, netstabiliteit, protocollen, bewustzijn. Partijen hebben afgesproken samen de actiepunten daadwerkelijk op te pakken. Nog ontbrekende partijen worden uitgenodigd aan te schuiven. Voor een succesvol vervolg zijn samenwerking en een open afstemming voorwaarde.

* Bij het initiatief zijn betrokken: Mike Kireev (ABB), Aram Segaar (Blue Bricks), Maurice Snoeren (DNV GL), Harm van den Brink en Arjan Wargers (ElaadNL), Peter Borsje (ENGIE), Achim Friedland (GraphDefined), Peter van den Boogaard (Provincie Noord-Brabant), Erik Poll en Pol van Aubel (Radboud Universiteit), Wout Benning (RAI) en Robbie Blok en Roland Ferwerda (NKL).

Wilt u ook betrokken zijn? Meld u hier aan.

Peter Borsje, Senior Business Developer bij ENGIE.

‘Overtuig management van noodzaak’

“Het belangrijkste is denk ik dat we het management bewust kunnen maken van de risico’s en de mogelijkheden. Anders komt ons verhaal niet aan. Ik ben ervan bewust hoe belangrijk het is dat ons net stabiel is. Je zult maar een industrieterrein hebben met smart grid en dat valt stil… Er moet nog veel gebeuren op het terrein van business IT. Daarnaast valt me op dat duidelijk moet worden welke data er zijn, bij wie ze zijn en wie eigenaar ervan is.”

Peter Borsje (ENGIE)

Test je cruciale infrastructuur

Honderd procent veiligheid in je netwerk is een illusie. In elke straat ligt de potentie voor inbreuk op het net: de kabels in de grond. De meeste sensoren in apparaten zijn ook niet gemaakt voor optimale veiligheid en privacy, maar voor gebruiksgemak. En bij uitbreiding van netwerken in een stad wordt bovendien vaak voor de goedkoopste optie gekozen; dat is niet altijd de beste en de veiligste.

Hoe groot de impact van misbruik, diefstal of aanvallen op je netwerk kan zijn, kun je tegenwoordig simuleren. Daarvoor heeft Igor van Gemert - oprichter en CEO van SIM-CI, zijn bedrijf opgericht. Dit bureau biedt Digital Twin Cities: virtual reality simulatieplatforms van echte steden waarop de cruciale cyber-infrastructuur is te zien. Hier kun je bijvoorbeeld de gevolgen van een gasexplosie nabootsen, of van een cyberattack, of een aanval. Dankzij dit droog oefenen kunnen maatregelingen genomen worden om incidenten in real life te voorkomen.

Kijk hier voor meer info.

‘Imagoschade voorkomen’

“Omdat de Provincie Noord-Brabant als partner betrokken is bij het promoten van elektrisch rijden willen we natuurlijk wel graag weten of het netwerk van laadpalen veilig is. Wat als zo’n paal niet veilig is, of misbruikt wordt om informatie uit de laadpaal te lezen? Voor onze organisatie dreigt dan imagoschade en het verlies van vertrouwen, omdat mogelijk persoonlijke gegevens van burgers openbaar worden. De landelijke overheid probeert grip te krijgen op cybersecurity, maar moet ze ook normen stellen? Belangrijk vind ik daarbij de privacy: welke informatie wordt verzameld, wat gebeurt ermee?”

Peter van den Boogaard (provincie Noord-Brabant)

Schakel menselijke factor uit

Je kunt je netwerk en systemen optimaal veilig proberen te maken, maar de factor mens vormt een groot risico. Systemen kun je checken op veiligheid, maar mensen kun je niet onder controle houden. Je kunt ze hoogstens beperkingen opleggen. Een schermpje met een tekst als ‘Are you sure…’ helpt echter niet, want mensen zijn gewend schermpjes aan te klikken en zullen ook deze aanklikken.

Welke risico's heeft dit voor elektrisch vervoer? Zorg bij het laden van de auto ervoor dat geen schermpjes verschijnen want dat zijn kwetsbare punten. Zorg er bij de bouw van het systeem voor dat het vanzelf en veilig gebeurt. Vermijd ook handmatige installaties, updates en instellingsaanpassingen en zorg in plaats daarvan voor automatische softwareconfiguratie op basis van identificatieversleutelingen.

Twee partijen hebben nu met name in de hand of en hoe systemen veilig kunnen worden. Ten eerste de ontwikkelaars: zij moeten voor standaarden in instellingen zorgen. Ten tweede de consument: die moet bij aankopen vragen of het aantoonbaar veilig is. Vervolgens moet natuurlijk getest worden óf het ook veilig is.

Mike Kireev, Technical Product Manager Connected Services Product Group EV Charging Infrastructure bij ABB.

‘Cybersecurity is een meerwaarde’

“Wij moeten pragmatisch zijn: we zijn op winst gericht en moeten voldoen aan de vraag van de consumenten. Als we cybersecurity bieden in oplaadpunten is dat een meerwaarde ten opzichte van de concurrenten. Het is onze taak om de consument uit te leggen waarom dat belangrijk is. Omdat we aan alle landen verkopen, is het ook belangrijk dat er een universele benadering komt. Nu moeten we met allerlei regelingen rekening houden. Laten we proberen zo’n universele aanpak te bereiken.”

Mike Kireev (ABB)

Ook betrokken zijn bij dit initiatief? Meld u hier aan.

Video Elaad-lezingen Cybersecurity * Website NKL * Teksten: NKL Nederland (René Lamers). Foto's: eigen foto's, m.u.v. foto nr. 5: 123RF. Infographic: Loek Weijts.

Report Abuse

If you feel that this video content violates the Adobe Terms of Use, you may report this content by filling out this quick form.

To report a Copyright Violation, please follow Section 17 in the Terms of Use.