官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
随着电动汽车近年来的销售量不断增长,电动汽车充电桩的需求也不断增加,但随之而来充电桩的网络安全问题也日益显现。
今年2月,新能源网络安全公司Saiflow的研究人员在开放充电点协议(OCPP)中发现了两个漏洞,可用于分布式拒绝服务(DDoS)攻击和窃取敏感信息。而爱达荷国家实验室最近发现,根据《能源》杂志对电动车充电漏洞研究的调查,在所检查的每个充电器仍然在运行未更新的Linux版本,允许许多服务以root身份运行。而且这些潜在的风险已经被不法分子利用。一年前,俄乌战争爆发开始,黑客攻击了莫斯科附近的充电站,使其瘫痪。
之所以充电桩网络安全问题日益凸显,是因为电动汽车的销售在全世界蓬勃发展。以美国为例,根据JD Power的数据,电动汽车的销量占2022年所有车辆销售的5.8%,高于前一年的3.2%。根据美国能源部的数据,目前,美国只有不到5.1万个快速充电站,能同时为13万辆汽车充电的能力。但是,截至2022年6月,注册的电动汽车超过150万辆,这意味着每一个公共充电端口要服务11辆汽车。
为了满足需求,解决电动汽车充电难的问题,拜登政府的目标是到2030年将车辆充电桩的数量增加到50万个。但是这也引起了网络安全专家的担心,因为这种急于求成的做法不利于网络安全的建设。大多数电动车充电器是一种物联网技术,这么多设备大量投放,而往往连接到单一的系统,鉴于基础设施的连接性和潜在的破坏能力,如何去实施、建设是不得不考虑问题。
物联网、OT和关键基础设施
技术的革新在许多方面引领了电动汽车行业的发展,其中也包括电动汽车充电设备的进化,这些设备通过移动应用程序进行连接,它们也将成为交通网络的一个重要组成部分,就像其他操作技术(OT)一样。
当然,由于电动车充电站必须连接到公共网络,确保它们的通信是加密的,这对维护设备的安全至关重要。黑客往往会在公共网络上寻找安全性差的设备,因此,充电桩运营商必须采取严格的保护措施,让黑客攻击无从下手。
消费者设备也是一个问题。根据ChargePoint数据显示,大约80%的充电是在家里进行的。但往往这些设备可能更容易被攻击,因为消费者并不关注,也没有意识关注网络安全。
因此,对于普通的用车用户来说,强制建立正确的安全保障是不现实的,所以,确保设备本身以及通信加密应该始终是供应商的责任。
政府在电动车网络安全方面的作用
有人表示,政府应该对公司及运营商制定标准,以防止网络安全漏洞。例如,桑迪亚国家实验室(Sandia National Laboratories)建议采取一系列措施来加强网络安全,包括改善电动汽车车主的身份验证和授权,为充电桩的云组件增加更多安全性,以及加强充电装置以防止物理篡改。
目前市面上电动汽车充电桩的运营商,都是以营利为目的公司,出于预算的考虑,他们基本不会选择最安全的网络实施方案。这种时候,政府可以通过加强规范、标准和和制定相关的行业法规来约束车企及运营商,同时进一步保护用户免受网络攻击的威胁。
参考链接:www.darkreading.com/ics-ot/ev-charging-infrastructure-electric-cyberattack-opportunity