充电桩频频曝出高危漏洞,充电基础设施安全该怎么做?

 二维码 2

       随着更多国家逐步迈向电动汽车多于燃油汽车的临界点,全球公共和私营部门也开始迫切投资于电车充电设施。建立这样一个强大且安全的电车充电生态系统,既有助于保障网络可用性和稳定性,也能为驾驶员提供无缝充电体验并助力实现零排放目标。

       一方面,电车充电设施的建设工作正热火朝天地进行;另一方面,充电设施的普及也伴随着网络安全风险的增加,网络犯罪分子已经注意到了这一点。

       当前,电车充电装置本身已经成为一大攻击目标。黑客可能向其植入勒索软件,也可能劫持设备并在提示屏幕上显示政治性或其他令人反感的内容。据安全内参了解,近年来已出现多起漏洞事件。

       2021年7月,PenTestPartners团队研究了6款在欧洲和美国流行的充电桩品牌,发现一系列电车充电桩的软硬件漏洞,可导致远程控制充电器乃至进一步破坏电网稳定性等危害

       2023年2月,Saiflow团队发现开放式充电点协议OCPP的某些版本存在漏洞,可导致远程关闭充电器或免费充电


漏洞范围不止于充电桩与电动汽车

       随着电动汽车生态系统的发展和攻击面扩大,用于对接充电桩及其管理系统的通信网络、在这些网络中传输的个人数据、收取费用的充电桩运营商以及电网本身,都越来越容易遭受攻击。具体风险包括但不限于:

  • 公共充电网络的运营中断,导致大量充电桩无法使用并影响交通运行;

  • 劫持充电桩网络,将充电桩作为大规模分布式拒绝服务(DDoS)攻击中的肉鸡;

  • 窃取客户的个人身份信息(PII),包括支付卡信息;

  • 涉及电动车充电费用的欺诈活动;

  • 电网中断,导致停电并造成设备损坏;

  • 损害电动车充电服务商的商业信誉。

       安全专家们都清楚,只要任意两点间在进行数字通信,就一定存在潜在漏洞。当电动车接入联网充电桩时,多台计算设备间的级联双工通信也会同步开启——车辆与充电桩间、充电桩与车主手机应用间、充电桩与电网间、充电桩与后端管理系统间、管理系统与支付网关间,再加上管理系统与充电桩运营商间。由此造成的巨大攻击面不难想象。

       要保护电车充电网络、个人与支付数据乃至电网的端到端安全性,整个电车充电生态系统都必须做出协调与承诺


前进方向:标准与协议

       电车充电与能源管理解决方案供应商,必须遵守由开放式充电联盟(OCA)和国际标准化组织(ISO)等全球联盟制定的行业协议与标准,借此获得保护。不止如此,电车充电桩制造商及其次级供应商、汽车制造商以及公共事业企业也都需要参与进来。

       保障网络安全的关键,在于开放式充电点协议(OCPP)。该协议负责管理充电站与中央管理系统间的通信,其最新版本包含安全连接设置、安全事件与日志记录,以及安全固件更新等相关标准。

       另一项举措则是ISO 27001,这是一套涵盖企业信息安全与风险管理流程中具体法律、物理和技术控制要求的综合性框架。相关合规性将确保所有相关流程、程序和工具得到实施与监控,保护电车充电平台。

       国际标准ISO 15118.20于2022年发布更新版,旨在加强充电站与电车间双工通信的安全要求。此项标准提供即插即用功能,使用安全证书自动识别充电桩上的电车并验证支付方式,甚至可以管理车辆到电网(V2G)所需的数据交换,将存储在车载电池中的电力传回电网。


以密码技术为底座建立多层保护


       密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑,是实现党管数据的最有效手段。传统密码技术存在认证效率低下、适配充电桩硬件系统难、云端一体化安全实现难,无法适应日益变化的安全场景。

      国产自主可控的软件国密 ZTRUST 一体化安全系统提供可普遍适配、低功耗、低延时、轻量化的全场景安全能力。可作为充电桩的安全基座,为智慧充电提供安全保障。确保智慧充电系统安全、有效、合规,实现核心数据资产的保护。


写在最后

       保护电车充电设施免受网络犯罪侵害,应当成为生态系统中各参与方的共同责任。无论你正考虑在营业场所内部署电车充电桩、还是作为生态系统内的重要参与者,都必须始终将安全放在首位。

       IT安全行业已经达成重要共识,即电车安全将是一场持久战。电车充电生态系统的普及度越高,带给网络犯罪分子的经济利益和价值吸引力就越大。这将是一场永无止境的对抗,我们必须抢在恶意黑客和潜在威胁之前,迅速做出反应。