Wzrost liczby pojazdów elektrycznych oraz rozwój niezbędnej infrastruktury nabiera powoli tempa. Stosunkowo szybka ekspansja, wspierana przez wiele programów narodowych, wiąże się z rosnącym ryzykiem dla naszej prywatności. Publiczne stacje ładowania pojazdów elektrycznych gromadzą wiele danych osobowych, przy czym poziom ich ochrony może budzić wątpliwości.
Polskiej elektromobilności obraz codzienny
W kraju, gdzie jeździ obecnie około 19 tysięcy aut czysto elektrycznych (i mniej więcej drugie tyle hybryd typu plug-in), a sieć ogólnodostępnych stacji ładowania pojazdów elektrycznych obejmuje około 1900 punktów, mogących jednocześnie obsłużyć niecało 3800 pojazdów[1], temat wydaje się dość abstrakcyjny. Szczególnie, jeśli porównamy to z liczbą około 24 milionów pozostałych zarejestrowanych samochodów (uwaga: średni wiek to 14 lat, dla UE – 11,5 roku[2]).
Między bajki można włożyć ogłoszone jeszcze w 2016 roku rządowe plany zarejestrowania w Polsce 1 miliona aut elektrycznych w ciągu 10 lat. Wielką fikcją jest uzupełnienie tej luki wytworami polskiej myśli technicznej. Z drugiej strony, Unia Europejska dąży do wdrożenia przepisów, które spowodują zakaz sprzedaży samochodów spalinowych od 2035. Bruksela zaproponowała jednocześnie przepisy, które wymagałyby od krajów Unii zainstalowania do 2030 3,5 mln publicznych stacji ładowania. Obecnie jest ich 200 tysięcy. Statystyki biorą w tym wypadku pod uwagę Wielką Brytanię, która – wraz z Holandią, Niemcami i Francją – dysponuje 75 procentami tych urządzeń.
Jakie dane gromadzą stacje ładowania pojazdów elektrycznych?
Stacje ładowania pojazdów elektrycznych (EVCS – electric vehicle charging stations), a także często wykorzystywane do ich obsługi aplikacje mobilne lub karty RIFID, gromadzą całą masę danych o klientach. Są wśród nich informacje[3]:
- handlowe, jak: dane dotyczące danej płatności i łączne wydatki, imię i nazwisko klienta, jego e-mail
- dotyczące korzystania z Internetu, takie jak: adres IP, historia zachowań online, identyfikatory wykorzystywanych aplikacji
- dotyczące lokalizacji, np. dokładne współrzędne GPS pojazdu
- operacyjne, jak: data, godzina rozpoczęcia i zakończenia ładowania, czas trwania, numer identyfikacyjny portu ładowania, stosowane polityki cenowe
Gromadzenie tych danych standardowo służy ulepszeniu usług, dostosowaniu ich do potrzeb konsumentów. Wskazują, na przykład, w jakich miejscach powinny być zainstalowane kolejne EVCSy.
Zakres zagrożeń
Obecnie za jedne z bardziej ingerujące w sferę prywatności mogą być uznane działania związane z gromadzeniem informacji o lokalizacji. Można je wykorzystać do przewidywania wzorców jazdy i ogólnej codziennej rutyny użytkownika. Efektem może być próba fizycznego ataku na osobę lub przejęcie jej własności pod jej nieobecność.
Dane pozyskiwane przez stacje ładowania wykorzystywane są do profilowania użytkowników. Na podstawie ich wcześniejszych zachowań i cech wywiedzionych z przetwarzanych danych wnioskuje się, często automatycznie, o ich zachowaniach, osobowości. W następstwie tego możliwe jest manipulowanie jednostką, za pomocą np. odpowiednio dobranych przekazów informacyjno-reklamowych.
Inne potencjalne zagrożenia to: kradzież tożsamości, bezprawne nadanie uprawnień dostępu, wprowadzenie wirusa do sieci operatora, kradzież poufnych informacji poprzez uzyskanie dostępu do sieci domowej lub firmowej, naliczanie opłaty za ładowanie samochodu na niewłaściwe konto. Eksperci uważają, że stacje ładowania staną się również popularny miejscem oszustw typu skimmer i shimmer, czyli pozyskiwania danych z pasków magnetycznych lub chipów kart płatniczych.
Należy mieć świadomość, że EVCSy są tylko częścią większej infrastruktury. Obejmuje ona pojazdy elektryczne, usługi w chmurze, przedsiębiorstwa energetyczne, inteligentne liczniki oraz systemy rozliczeń i płatności. Każde z tych miejsc jest narażone na niekontrolowany wyciek danych.
Przy okazji rozważań dotyczących zagrożeń dla prywatności warto zauważyć też, że EVCSy mogą posłużyć manipulacji przepływem energii elektrycznej. Zagraża to bezpieczeństwu sieci energetycznej. Potencjalny efekt – blackout[4], czyli długotrwała przerwa w dostawach prądu.
Używać czy nie używać – czy jest jeszcze miejsce na takie pytanie?
Wszystko wskazuje na to, że już w ciągu kilkunastu lat duża część z nas będzie pozbawiona takiego wyboru. Należy jednocześnie podkreślić, że kwestia zapewnienia bezpieczeństwa danych leży głównie po stronie operatorów stacji ładowania. To oni powinni zwiększyć bezpieczeństwo aplikacji mobilnych, jak również oprogramowania umieszczonego na stacjach. Poziom ryzyka może zostać obniżony również poprzez obecność fizycznych zabezpieczeń, takich jak strażnicy lub systemy nadzoru. Ograniczy to ataki zmierzające do modyfikacji oprogramowania w komponentach wewnętrznych (takich jak procesory) lub instalację niebezpiecznych dodatków (np. shimmerów).
Regularne audyty i rygorystyczne kontrole prywatności są niezbędne do utrzymania odpowiedniej ochrony informacji o konsumentach. Potrzebne jest także wypracowanie standardów ochrony stacji ładowania lub certyfikacji ich bezpieczeństwa. Plus mechanizm zewnętrznej kontroli, który zapewniałby przestrzeganie wprowadzonych norm (może w Polsce to zadanie dla URE lub nawet NIK?). Chodzi o to, aby w hurraoptymistycznym pędzie do zwiększania liczby „gniazdek dla samochodów” nie pojawiły się na ulicach pseudoprodukty kosztujące podatników miliony, funkcjonalnością zbliżone do znanych powszechnie respiratorów bez certyfikatów. Jak wynika z powyższego artykułu, zagrożenie dla zdrowia, życia lub dobrostanu użytkowników mogłoby być podobne.
[1] https://www.rynekelektryczny.pl/infrastruktura-ladowania-pojazdow-elektrycznych/
[2] https://www.autobaza.pl/page/portal/news/liczba-samochodow-w-polsce-747-aut-na-1000-mieszkancow/
[3] https://iapp.org/news/a/electric-vehicle-charging-stations-may-be-a-privacy-risk/
[4] https://www.fierceelectronics.com/iot-wireless/could-ev-charging-stations-pose-a-security-risk-to-grid
