隨著電動(dòng)汽車銷量的增加��,充電站受攻擊的風(fēng)險(xiǎn)以及重大網(wǎng)絡(luò)安全漏洞的可能性也越來越大。電動(dòng)汽車(EV)的日益普及不僅受到消費(fèi)者的青睞���,也受到專注于利用電動(dòng)汽車充電站發(fā)動(dòng)深遠(yuǎn)攻擊的網(wǎng)絡(luò)犯罪分子的青睞。這是因?yàn)槊總€(gè)充電點(diǎn)���,無論是在私人車庫內(nèi)還是在公共停車場(chǎng)內(nèi)�����,都在線并運(yùn)行各種與支付系統(tǒng)和電網(wǎng)交互的軟件,并存儲(chǔ)駕駛員身份�����。換句話說��,它們是物聯(lián)網(wǎng)(IoT)軟件的深坑����。
充電站面臨重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
充電網(wǎng)絡(luò)提供商EVPassport的首席執(zhí)行官胡曼·沙希迪(Hooman Shahidi)表示:“隨著電動(dòng)汽車充電變得更加普遍,它們將成為更復(fù)雜的黑客組織的有吸引力的目標(biāo)�。” “供應(yīng)商需要將他們的產(chǎn)品視為關(guān)鍵基礎(chǔ)設(shè)施和我們國家安全的關(guān)鍵組成部分。”美國有250萬輛電動(dòng)汽車在運(yùn)營��,其中一半以上需要插入式充電器�。鑒于其受歡迎程度���,英國于2022年強(qiáng)制要求在所有新建住宅建筑中建造充電站。
Check Point Software和SaiFlow的研究人員寫道:“問題包括不受保護(hù)的互聯(lián)網(wǎng)連接��、身份驗(yàn)證和加密不足�����、缺乏網(wǎng)絡(luò)分段���、不受管理的能源資產(chǎn)等等���。” SaiFlow是分布式能源解決方案的網(wǎng)絡(luò)安全專家。例如�����,受損的站點(diǎn)可能會(huì)損壞電網(wǎng)�����,或?qū)е驴蛻魯?shù)據(jù)被盜����。“充電站擁有個(gè)人和支付信息�,并運(yùn)行傳統(tǒng)防火墻通常無法識(shí)別的各種協(xié)議�,”在CTO辦公室工作的Check Point Software的Aaron Rose說道。
針對(duì)充電站的網(wǎng)絡(luò)攻擊的早期階段始于幾年前���,當(dāng)時(shí)俄羅斯的一個(gè)充電站于2022年2月因?yàn)蹩颂m戰(zhàn)爭(zhēng)而遭到攻擊��,而英國的另外三個(gè)充電站于2022年4月遭到攻擊�����。這兩種情況都更多是網(wǎng)絡(luò)惡作劇��,屏幕上出現(xiàn)粗魯?shù)男畔?。殼牌去年修?fù)了 一個(gè)數(shù)據(jù)庫中的一個(gè)漏洞����,該漏洞可能會(huì)暴露其電動(dòng)汽車充電網(wǎng)絡(luò)中的數(shù)百萬條充電日志���。
新的漏洞繼續(xù)困擾著充電站��。SaiFlow今年早些時(shí)候發(fā)現(xiàn)��,其中兩個(gè)可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行和潛在的數(shù)據(jù)盜竊 �����。根據(jù)他們的研究�����,這些漏洞利用了充電站中使用的各種軟件模塊之間的弱身份驗(yàn)證例程�。充電站供應(yīng)商Enel X Way列出了涉及車輛ID號(hào)的各種其他數(shù)據(jù)泄露,以及可以遠(yuǎn)程訪問車輛控件的漏洞�。
Elias Bou-Harb是路易斯安那州立大學(xué)的計(jì)算機(jī)科學(xué)家,長期研究充電站安全��。他發(fā)現(xiàn)幾乎每個(gè)收費(fèi)產(chǎn)品都存在重大漏洞��,包括SQL注入���、跨站腳本等眾所周知的攻擊方式�����。“特別令人擔(dān)憂的是��,大多數(shù)供應(yīng)商都沒有實(shí)施一些眾所周知的保護(hù)措施��,即使在我們發(fā)現(xiàn)這些弱點(diǎn)之后����,也很少有供應(yīng)商采取措施來提高安全性。”
物聯(lián)網(wǎng)設(shè)備仍然是有吸引力的攻擊目標(biāo)
當(dāng)然���,來自充電站的威脅并不是唯一成為網(wǎng)絡(luò)攻擊者目標(biāo)的物聯(lián)網(wǎng)設(shè)備����。這些站點(diǎn)只是眾多物聯(lián)網(wǎng)設(shè)備中的一種�����,其漏洞不斷增加���。許多規(guī)模較小的供應(yīng)商安全設(shè)計(jì)和實(shí)踐較差�����,再加上僵尸網(wǎng)絡(luò)等眾多自動(dòng)化工具來定位和破壞各種設(shè)備,使得所有物聯(lián)網(wǎng)設(shè)備很容易成為黑客的目標(biāo)�。此后,美國聯(lián)邦通信委員會(huì)(FCC)的數(shù)據(jù)有所增加���。
但充電站確實(shí)代表了一種復(fù)雜的元素組合�����,因此非常豐富且具有潛在的可利用性���,其范圍可以超越智能電視和智能揚(yáng)聲器�。例如�,Check Point的Rose表示,“充電器具有類似的風(fēng)險(xiǎn)狀況�,但與其他智能設(shè)備呈現(xiàn)不同的攻擊面。”
Bou-Harb表示��,這意味著充電站“在電動(dòng)汽車用戶和汽車之間以及充電站和電網(wǎng)之間運(yùn)行管理軟件工具����,并協(xié)調(diào)計(jì)費(fèi)、身份驗(yàn)證和供電”�。“更復(fù)雜的是,所有這些都由收費(fèi)供應(yīng)商部署在云端���。”他的研究發(fā)現(xiàn)�����,這些站點(diǎn)運(yùn)行的一些軟件已被利用多年�����,“供應(yīng)商尚未意識(shí)到他們已受到損害��,更不用說解決問題了����。”
Enel X Way的博客文章列出了充電站的全面八點(diǎn)框架 ,涵蓋身份訪問���、風(fēng)險(xiǎn)管理�、應(yīng)急響應(yīng)和其他因素����。
充電站成監(jiān)管機(jī)構(gòu)重點(diǎn)監(jiān)管目標(biāo)
美國和歐洲都在采取監(jiān)管措施,試圖控制公共和私人充電站����。英國自2022年起頒布了一項(xiàng)與家庭充電站相關(guān)的反篡改法。正如最近報(bào)道的那樣��,這促成了多家供應(yīng)商的安全性改進(jìn)�����。充電站供應(yīng)商Wallbox為其設(shè)備增加了額外的安全保障措施���,以遵守這些法規(guī)����,而其他供應(yīng)商則退出了歐洲市場(chǎng)�,而不是改進(jìn)其產(chǎn)品。
歐盟去年在NIS2指令中提出了針對(duì)電網(wǎng)運(yùn)營商和物聯(lián)網(wǎng)供應(yīng)商的新網(wǎng)絡(luò)安全保障措施�,該指令將于2024年10月生效。其中包括更嚴(yán)格的違規(guī)報(bào)告要求并征收更高的罰款等�。 另一項(xiàng)建議是讓充電站行業(yè)對(duì)其設(shè)備進(jìn)行自我認(rèn)證,就像美國保險(xiǎn)商實(shí)驗(yàn)室對(duì)各種電子產(chǎn)品所做的那樣�����。歐洲汽車安全供應(yīng)商Dekra提出了一項(xiàng)公共充電站認(rèn)證計(jì)劃���, 據(jù)稱這是行業(yè)首創(chuàng)�����。它提供三個(gè)不同級(jí)別��,從提供基本安全服務(wù)到設(shè)備滲透測(cè)試���。
美國在這些努力方面落后了�����。去年夏天�,拜登政府提出了智能家居設(shè)備的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃���。該標(biāo)志被稱為 “網(wǎng)絡(luò)信任標(biāo)志”���,將由美國聯(lián)邦通信委員會(huì)根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所制定的工作進(jìn)行管理。“網(wǎng)絡(luò)信任標(biāo)記是一個(gè)好主意���,”Check Point的Rose說����。“但執(zhí)行將是關(guān)鍵�����。標(biāo)記必須更新,并且基于對(duì)設(shè)備的持續(xù)測(cè)試��。”
去年����,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)還針對(duì)公共充電站提出了一系列改善網(wǎng)絡(luò)安全的建議�����。然而����,NIST、Cyber Trust和Dekra倡議的一個(gè)關(guān)鍵要素是它們都是自愿的���。Akitra產(chǎn)品管理副總裁Ravi Lingarkar在 LinkedIn上寫道:“充電站的指導(dǎo)方針是一個(gè)積極的發(fā)展�。” “如果沒有統(tǒng)一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)��,電動(dòng)汽車充電站很容易成為黑客的目標(biāo)���。這就像任何人都可以將自己的設(shè)備接入電網(wǎng)一樣�����。鑒于電動(dòng)汽車充電基礎(chǔ)設(shè)施的快速擴(kuò)張�,網(wǎng)絡(luò)安全是許多潛在問題的首要問題。”
盡管如此����,這些努力還處于早期階段且還不完整。“政府的規(guī)定來得太晚了����,”布哈布說。“市場(chǎng)上各種充電產(chǎn)品已經(jīng)飽和����。這些供應(yīng)商并不真正關(guān)心他們?cè)O(shè)備的安全性,這往往更多是事后的想法?���,F(xiàn)在是充電供應(yīng)商團(tuán)結(jié)起來,承認(rèn)存在問題的時(shí)候了��,并且開始研究解決方案并共享威脅數(shù)據(jù)����。”
一個(gè)潛在的障礙是電動(dòng)汽車充電器受到多個(gè)監(jiān)管機(jī)構(gòu)的管轄,例如交通部�����、能源部和國土安全部。讓他們所有人合作并不容易�����。“沒有人發(fā)揮領(lǐng)導(dǎo)作用�,”布哈布說�。
“政府現(xiàn)在可以采取的一個(gè)簡(jiǎn)單步驟是要求電動(dòng)汽車充電提供商等待SOC2。我們需要提高標(biāo)準(zhǔn)���,”EVPassport 的Shahidi說��。SOC2標(biāo)準(zhǔn)重點(diǎn)關(guān)注安全控制和隱私等項(xiàng)目�����。
參考資源:
1.https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities
2.https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_s84_paper.pdf
3.https://www.clouddefense.ai/clouddefense-ai-discovers-critical-security-data-breach-for-oil-giant-shell/
4.https://www.motorbiscuit.com/a-ukrainian-company-hacked-russian-ev-charging-stations-to-protest-the-invasion/
5.https://www.linkedin.com/pulse/unpacking-nists-cybersecurity-guidelines-ev-fast-ravi-lingarkar/
6.https://www.dekra.us/en/digital-product-solutions/ev-charging-station-cybersecurity-certification/
原文來源:網(wǎng)空閑話plus
在線咨詢
在線咨詢
0371-63319761
