Analisi della sicurezza delle infrastrutture di ricarica pubbliche per la mobilità elettrica
Nell’ambito del suo ultimo progetto di iniziativa, l’Istituto nazionale di test per la cibersicurezza NTC ha condotto un'analisi approfondita della sicurezza dell'infrastruttura di ricarica svizzera per la mobilità elettrica. Sono state individuate importanti falle di sicurezza in circa 30 organizzazioni, le quali sono state segnalate ai produttori ed eliminate da questi ultimi. Sono state inoltre formulate raccomandazioni generali per l'industria.
DL’Istituto nazionale di test per la cibersicurezza NTC ha colto l'occasione per analizzare la sicurezza dell'infrastruttura di ricarica pubblica per la mobilità elettrica, in rapida crescita, mentre era ancora in fase di costruzione. Grazie alla forza trainante di start-up innovative, il numero di stazioni di ricarica pubbliche sta crescendo con rapidità. La cibersicurezza viene spesso trascurata a favore di un rapido lancio sul mercato, e questa tendenza mette a rischio uno sviluppo sostenibile e un funzionamento stabile dell’infrastruttura.
Nel periodo compreso tra maggio e agosto 2023 sono stati testati sistemi accessibili via Internet di circa 50 produttori diversi, tra cui sette app per dispositivi mobili, il firmware di undici colonnine di ricarica e le applicazioni backend centrali di 23 operatori di stazioni di ricarica. I risultati dei test evidenziano una situazione di sicurezza nel settore delle infrastrutture di ricarica pubbliche per la mobilità elettrica in Svizzera che necessita di miglioramenti.
Il rapporto si rivolge in particolare ai produttori e agli operatori delle infrastrutture di ricarica e presenta, oltre ai rischi, cinque raccomandazioni generali per l'industria.
Uno dei rischi più evidenti è l’utilizzo ampiamente diffuso nel settore di una versione obsoleta e non sicura del protocollo di comunicazione OCPP. I produttori dovrebbero ricorrere soltanto alla versione più recente del protocollo, in quanto dotata di importanti caratteristiche di sicurezza.
Inoltre, tutte le aziende non disponevano delle Vulnerability Disclosure Policies raccomandate dall’NCSC, che prevedono, tra l'altro, la pubblicazione standardizzata dei dettagli di contatto di un ufficio per la segnalazione delle falle di sicuerezza. Ciò faciliterebbe la segnalazione da parte degli hacker etici, poiché nella pratica è altrimenti difficile contattare le aziende interessate per segnalare le eventuali vulnerabilità.
L’NTC ha informato circa 30 produttori e gestori in merito alle vulnerabilità. I test e la relazione conclusiva rappresentano quindi solo una parte del lavoro effettivo, dato che la notifica e la consulenza rivolte alle organizzazioni interessate, pur non essendo visibili al pubblico, costituiscono due attività importanti e dispendiose in termini di tempo del progetto complessivo.
Con questo progetto d'iniziativa, l'NTC mira a evidenziare i possibili punti deboli in questa fase iniziale di espansione dell'infrastruttura di ricarica, in modo da poterli correggere il prima possibile e creare e gestire un'infrastruttura di ricarica solida ed efficiente per la Svizzera.
Comunicato stampa da scaricare: