充电桩频频曝出高危漏洞,充电基础设施安全该怎么做?
安全内参2月3日消息,随着更多国家逐步迈向电动汽车多于燃油汽车的临界点,全球公共和私营部门也开始迫切投资于电车充电设施。建立这样一个强大且安全的电车充电生态系统,既有助于保障网络可用性和稳定性,也能为驾驶员提供无缝充电体验并助力实现零排放目标。
一方面,电车充电设施的建设工作正热火朝天地进行;另一方面,充电设施的普及也伴随着网络安全风险的增加,网络犯罪分子已经注意到了这一点。
当前,电车充电装置本身已经成为一大攻击目标。黑客可能向其植入勒索软件,也可能劫持设备并在提示屏幕上显示政治性或其他令人反感的内容。据安全内参了解,近年来已出现多起漏洞事件。
2021年7月,PenTestPartners团队研究了6款在欧洲和美国流行的充电桩品牌,发现一系列电车充电桩的软硬件漏洞,可导致远程控制充电器乃至进一步破坏电网稳定性等危害。
2023年2月,Saiflow团队发现开放式充电点协议OCPP的某些版本存在漏洞,可导致远程关闭充电器或免费充电。
漏洞范围
不止于充电桩与电动汽车
随着电动汽车生态系统的发展和攻击面扩大,用于对接充电桩及其管理系统的通信网络、在这些网络中传输的个人数据、收取费用的充电桩运营商以及电网本身,都越来越容易遭受攻击。具体风险包括但不限于:
- 公共充电网络的运营中断,导致大量充电桩无法使用并影响交通运行;
- 劫持充电桩网络,将充电桩作为大规模分布式拒绝服务(DDoS)攻击中的肉鸡;
- 窃取客户的个人身份信息(PII),包括支付卡信息;
- 涉及电动车充电费用的欺诈活动;
- 电网中断,导致停电并造成设备损坏;
- 损害电动车充电服务商的商业信誉。
安全专家们都清楚,只要任意两点间在进行数字通信,就一定存在潜在漏洞。当电动车接入联网充电桩时,多台计算设备间的级联双工通信也会同步开启——车辆与充电桩间、充电桩与车主手机应用间、充电桩与电网间、充电桩与后端管理系统间、管理系统与支付网关间,再加上管理系统与充电桩运营商间。由此造成的巨大攻击面不难想象。
要保护电车充电网络、个人与支付数据乃至电网的端到端安全性,整个电车充电生态系统都必须做出协调与承诺。
前进方向:标准与协议
电车充电与能源管理解决方案供应商,必须遵守由开放式充电联盟(OCA)和国际标准化组织(ISO)等全球联盟制定的行业协议与标准,借此获得保护。不止如此,电车充电桩制造商及其次级供应商、汽车制造商以及公共事业企业也都需要参与进来。
保障网络安全的关键,在于开放式充电点协议(OCPP)。该协议负责管理充电站与中央管理系统间的通信,其最新版本包含安全连接设置、安全事件与日志记录,以及安全固件更新等相关标准。
另一项举措则是ISO 27001,这是一套涵盖企业信息安全与风险管理流程中具体法律、物理和技术控制要求的综合性框架。相关合规性将确保所有相关流程、程序和工具得到实施与监控,保护电车充电平台。
国际标准ISO 15118.20于2022年发布更新版,旨在加强充电站与电车间双工通信的安全要求。此项标准提供即插即用功能,使用安全证书自动识别充电桩上的电车并验证支付方式,甚至可以管理车辆到电网(V2G)所需的数据交换,将存储在车载电池中的电力传回电网。
以IT安全最佳实践
建立多层保护
电车充电生态系统厂商向IT安全最佳实践迈出的第一步,就是调整自身组织结构:聘请首席信息安全官(CISO)。面对巨大的攻击面,以及保护数据免受内外部攻击影响这一基本目标,CISO需要与首席技术官(CTO)密切合作,协调IT安全与电车充电设施安全。
X.509公钥基础设施(PKI)、传输层安全(TLS)、安全“隧道”等IT安全最佳实践能够加密网络传输数据,进而保护云端管理软件、电车充电桩、电车及电网间的通信与数据交换。
电车充电设施供应商还应当关注涉及个人身份信息的数据隐私法规。任何传输、处理或存储个人身份信息的组织,都应遵守欧盟的《通用数据保护条例》(GDPR)、日本的《个人信息保护法》(APPI)、美国《加州消费者隐私法》(CCPA)和新的《加州隐私权法》(CPRA)。
支付卡行业数据安全标准(PCI DSS)和SOC 1安全标准则提供安全控制与措施,确保在传输和存储期间保护信用卡/借记卡交易活动。具体控制措施包括使用令牌而非可读数据,且仅存储信用卡号的最后四位数字。计费管理系统的智能安全措施,也有助于识别和防范付款欺诈。
端点检测与响应(EDR)系统能持续监控接入电车充电管理平台的设备,识别入侵并实现快速响应,让网络犯罪分子无法渗透网络并横移至管理软件、汽车、电网等其他组件。
另外,应开展年度设施与应用程序渗透测试,并为发现的潜在漏洞制定出可靠的解决计划。
写在最后
保护电车充电设施免受网络犯罪侵害,应当成为生态系统中各参与方的共同责任。无论你正考虑在营业场所内部署电车充电桩、还是作为生态系统内的重要参与者,都必须始终将安全放在首位。
IT安全行业已经达成重要共识,即电车安全将是一场持久战。电车充电生态系统的普及度越高,带给网络犯罪分子的经济利益和价值吸引力就越大。这将是一场永无止境的对抗,我们必须抢在恶意黑客和潜在威胁之前,迅速做出反应。
