Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden. Dat las ik bij Security.nl, dat zich baseert op eigen onderzoek van cybersecuritybedrijf Vest: vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.
Zo ongeveer alles dat qua security zou kunnen helpen, blijkt niet aangezet of niet aan controle onderworpen. Je kunt een laadpas aanvragen op andermans naam en bankrekeningnummer, zonder controle. Activatie van de pas blijkt praktisch niet nodig. Klonen van passen is triviaal. De pas praat via een onbeveiligd protocol met de laadpaal. Betalen gaat enkel op basis van uitlezen van het pasnummer, en die zijn eenvoudig te raden (en dus te klonen). Oh, en met een extra stukje software kun je druppelladen: opeenvolgende laadsessies van 59 seconden, die stuk voor stuk gratis zijn omdat pas na 1 minuut wordt afgerekend. Bent u daar nog?
Bij NRC deden ze navraag bij de aanbieders, en die zijn pragmatisch:
De laadpasaanbieders en laadpaaloperators zijn zich bewust van de risico’s, maar achten de kans op misbruik klein. Laadstationexploitant Fastned, dat zelf geen passen verstrekt, zegt „geen noemenswaardige fraudeklachten” te ontvangen.Onderzoeker Pol Van Aubel, verbonden aan de Nijmeegse Radboud Universiteit verduidelijkt:
Bij veel publieke laadpalen is cameratoezicht, en fraude is strafbaar en op te sporen. Het is immers een trage vorm van diefstal, zegt Van Aubel. „Je staat al snel minstens een kwartier te laden, en bij een tragere lader wel twee uur. Het is niet alsof het een heel lucratieve en risicoloze manier van fraude is.”Het onderliggende probleem is natuurlijk dat alle passen met alle palen moeten werken. Dat oplossen vereist dus aanpassingen in zowel pas als paal, en dat is behoorlijk duur. Maar zou het juridisch moeten, zoals diverse lezers me vroegen?
Toevallig is bijna een jaar geleden de NIS2-richtlijn aangenomen, die eisen stelt aan de cyberbeveiliging van “kritieke infrastructuur”. Laadpaalinfrastructuur valt daaronder (annex 1, categorie Energie/Elektriciteit) dus die exploitanten (aangenomen dat ze middenbedrijf of groter zijn) moeten de boel op orde hebben. Maar wat betekent dat? Artikel 21 legt het uit zoals alleen een jurist zou doen:
Oftewel, zorg er voor dat het goed is en dat je de risico’s onder controle hebt. En daar zit hem de kneep: is afwezigheid van cybersecurity een probleem als er geen reële gevallen van misbruik daarvan zijn? Niemand laadt op andermans kosten, gekloonde laadpassen zijn geen ding en gratis druppelladen kan maar dan sta je vele uren bij de paal, tsja wie wil dat nou?Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.
Iets formeler gezegd: een goede cyberbeveiliging is gebaseerd op een risicoafweging. Je neemt de grootte van het risico en de zwaarte van de impact mee, en baseert daar je beleid op. Zelden voorkomende issues met nauwelijks impact kun je in dat beleid prima als restrisico/aanvaardbaar classificeren, met eventueel een potje geld voor dat enkele slachtoffer.
Arnoud
Ik begrijp dat de branche afwacht tot de fraude gefaciliteerd gaat worden door partijen die passen voor “gratis” laden op de grijze markt gaan brengen.
In goed Nederlands: Als het kalf verdronken is dempt men de put.
(Ik weet trouwens nog steeds niet hoeveel er met de OV-chipkaart is gefraudeerd voordat ze daar met een veiligheidsupdate kwamen.)
Ik herinner me nog vele verhalen van mensen die containers vol met RFID lezer/schrijvers importeerden met het kennelijke oogmerk daarmee ov-chipkaartfraude te faciliteren. Kennelijk sprak dat meer aan, gratis met de trein, dan gratis je auto laden?
Voorbeeld: https://tweakers.net/nieuws/56398/opensource-applicatie-om-ov-chipkaarten-te-klonen-verschenen.html
Ik heb op rechtspraak.nl vrij snel een drietal strafzaken gevonden waarbij fraudeurs met de OV-chipkaart veroordeeld werden. Opmerkelijk: bij de meest recente zaak werd de nieuwe, beter beveiligde kaart gehackt.
Wellicht dat het verkeerd begrijp, maar
Bij mij in de straat staat een openbare laadpaal. Die wordt door electrische auto’s (mis)gebruikt als parkeerplaats en om op te laden. Meestal staan die auto’s er dan de hele nacht. Dat is niet verdacht, en lijkt mij ruim voldoende tijd om je auto gratis via druppelladen op te laden. Dan neem ik aan dat dat ‘druppelladen’ vanuit de auto wordt aangestuurd, omdat je niet de software in de laadpaal kunt aanpassen. Of mis ik iets?
Je hebt een zogeheten Flipper Zero nodig, die zich voordoet als laadpas en na 59 seconden de laadactie afbreekt, om 1 seconde later weer te starten. Dat gebeurt dan de hele nacht. Probleem 1 is dat je dan die Flipper moet vastmaken aan de laadpaal, wat de gebruiker van stopcontact 2 niet leuk vindt en een beetje oplettende BOA wel zal zien. Probleem 2 is dat een Flipper Zero 200 euro kost en dus diefstalgevoelig is. In een parkeergarage waarvan je weet dat ie ’s nachts op slot is, zou het misschien nét interessant zijn.
Plus dat als de eigenaar van de laadpaal ziet dat een specifieke paal een uur lang sessies van 59 seconden zit te doen, dan is er genoeg tijd om een controleur langs te sturen als de auto er de hele nacht staat.
Hee, die Flipper Zero kwam ook al naar voren bij de BLUFFS kwetsbaarheid met Bluetooth. Even wat beter bekeken: mijn hackerhart gaat best wat harder kloppen bij dit gekke ding. Daarnaast vraag ik me af het de laadpaaltoko’s zal opvallen als een laadpaal een hele nacht sessies van 59 seconden draait. Als operator zet je zo’n paal dan vast uit.
Zou men daar werkelijk op monitoren?
Ik denk het niet direct, maar misschien wel op een indirecte manier. Bijvoorbeeld als men het aantal laadsessies bijhoudt of de gemiddelde duur van een sessie, want dan komen er voor een nacht van 8 uur ineens 480 extra sessies van nog een minuut lang bij.
Waarom zou men dat niet doen als men van het bestaan van dit apparaat weet?
Vanwege dezelfde teneur als waarmee dit bericht begon: het kost geld om zoiets op te tuigen, terwijl de te verwachte fraude verwaarloosbaar klein is.
Op zich heb je geen Flipper Zero nodig als je eenmaal de UID van een kaart hebt. Een schrijfbare kloon-kaart is een stuk goedkoper, maar ook een stuk lastiger aan te komen.
Dat gezegd hebbend, er ís natuurlijk gewoon de optie om te monitoren: twee gelijktijdige laadsessies met dezelfde UID, twee kort opeenvolgende laadsessies in geografisch héél verschillende locaties, heel veel kort na elkaar startende laadsessies, etc.
Op zich hóeft het niet veel te kosten om dat soort monitoring op te tuigen; in ieder geval een stuk minder dan alle passen vervangen. Of dat momenteel de moeite waard gevonden wordt zal afhangen van hoeveel schade de laadpaal-operators en de laadpas-aanbieders van elk type fraude (denken te) ondervinden.
Zoals ik ook in ’t NRC-artikel aanhaal, er staan technieken op stapel om deze pas te vervangen (en dan bedoel ik niet dat elke aanbieder z’n eigen smartphone-app heeft, maar eerder dat de auto zichzelf identificeert, of dat ’t verplicht wordt om bankpassen te kunnen uitlezen a la hoe de OV-bedrijven dat nu ook kunnen). Maar ’t gaat nog wel even duren voordat die echt breed worden gebruikt.
Omdat het een veel voorkomend misverstand is en je er in je weblog ook niets over opmerkt: een EU richtlijn heeft geen directe werking. Alleen in uitzonderlijke situaties kan dat het geval zijn.
Een richtlijn is een verplichting voor lidstaten (zoals Nederland) om de richtlijn om te zetten in nationale wetgeving, tenzij de richtlijn daar een uitzondering op maakt. Pas na omzetting kun je een beroep doen op datgene wat in de Nederlandse wet staat opgenomen. De wet moet wel ‘richtlijnconform’ worden uitgelegd. Bij twijfel over de Nederlandse wet moet de tekst in de richtlijn dus worden betrokken.
Uiterlijk op 17 oktober 2024 moet Nederland de richtlijn hebben omgezet (art. 41 Richtlijn (EU) 2022/2555). Uiteraard kunnen bedrijven wel anticiperen op die regelgeving.
Een EU verordening zoals de AVG heeft wél directe werking en hoeft niet eerst te worden omgezet.
Voortgang 2022/2555 staat hier:
https://wetten.overheid.nl/EUR20222555
Het probleem bij klonen van een pas en dus laden op kosten van iemand anders, is dat de bewijslast bij die iemand anders komt te liggen. Die moet aan de bel gaan trekken als er kosten in rekening gebracht worden, die zhij niet gemaakt heeft. Aanbieders nemen waarschijnlijk niet hun zorgplicht ten opzichte van hun klanten.
Hoi Arnoud,
Mooie kijk op dit alles, en bedankt voor het behouden van de nuance!
Ik zou alleen graag willen verduidelijken — de manier waarop je ’t citaat momenteel hebt overgenomen impliceert dat ik verbonden ben aan de laadpasaanbieders, en dat is niet ’t geval. Mijn bevindingen en uitspraken zijn als onafhankelijk wetenschapper werkzaam bij de Radboud Universiteit, ik spreek niet voor de laadpas-aanbieders.
Excuses Pol! Ik heb het citaat gesplitst en jouw credits uit het NRC artikel gebruikt om je te introduceren.
Bedankt!
Doet me een beetje denken aan de onveiligheid van de oude openbare telefoons. Kon je ook zonder problemen gratis mee bellen, maar per saldo kon je gewoon op die wijze niet genoeg kwartjes stelen om het een probleem te maken voor de telefoonmaatschappij.
Prachtige vergelijking, past perfect bij mijn mantra dat de ict-recht geschiedenis zich niet herhaalt maar wel rijmt. Je ziet oude thema’s steeds terugkomen in nieuwe casussen.