充電樁頻頻曝出高危漏洞����,充電基礎(chǔ)設(shè)施安全該怎么做���?
要保護電車充電網(wǎng)絡(luò)�����、個人與支付數(shù)據(jù)乃至電網(wǎng)的端到端安全性��,整個電車充電生態(tài)系統(tǒng)都必須做出協(xié)調(diào)與承諾�。
2月3日消息,隨著更多國家逐步邁向電動汽車多于燃油汽車的臨界點���,全球公共和私營部門也開始迫切投資于電車充電設(shè)施���。建立這樣一個強大且安全的電車充電生態(tài)系統(tǒng),既有助于保障網(wǎng)絡(luò)可用性和穩(wěn)定性����,也能為駕駛員提供無縫充電體驗并助力實現(xiàn)零排放目標��。
一方面�����,電車充電設(shè)施的建設(shè)工作正熱火朝天地進行�����;另一方面,充電設(shè)施的普及也伴隨著網(wǎng)絡(luò)安全風險的增加���,網(wǎng)絡(luò)犯罪分子已經(jīng)注意到了這一點���。
當前,電車充電裝置本身已經(jīng)成為一大攻擊目標�。黑客可能向其植入勒索軟件,也可能劫持設(shè)備并在提示屏幕上顯示政治性或其他令人反感的內(nèi)容�。據(jù)安全內(nèi)參了解,近年來已出現(xiàn)多起漏洞事件��。
2021年7月��,PenTestPartners團隊研究了6款在歐洲和美國流行的充電樁品牌���,發(fā)現(xiàn)一系列電車充電樁的軟硬件漏洞���,可導致遠程控制充電器乃至進一步破壞電網(wǎng)穩(wěn)定性等危害。
2023年2月�,Saiflow團隊發(fā)現(xiàn)開放式充電點協(xié)議OCPP的某些版本存在漏洞,可導致遠程關(guān)閉充電器或免費充電�����。
漏洞范圍
不止于充電樁與電動汽車
隨著電動汽車生態(tài)系統(tǒng)的發(fā)展和攻擊面擴大,用于對接充電樁及其管理系統(tǒng)的通信網(wǎng)絡(luò)��、在這些網(wǎng)絡(luò)中傳輸?shù)膫€人數(shù)據(jù)�、收取費用的充電樁運營商以及電網(wǎng)本身,都越來越容易遭受攻擊����。具體風險包括但不限于:
• 公共充電網(wǎng)絡(luò)的運營中斷,導致大量充電樁無法使用并影響交通運行���;
• 劫持充電樁網(wǎng)絡(luò)��,將充電樁作為大規(guī)模分布式拒絕服務(DDoS)攻擊中的肉雞����;
• 竊取客戶的個人身份信息(PII)���,包括支付卡信息;
• 涉及電動車充電費用的欺詐活動�;
• 電網(wǎng)中斷,導致停電并造成設(shè)備損壞��;
• 損害電動車充電服務商的商業(yè)信譽�。
安全專家們都清楚,只要任意兩點間在進行數(shù)字通信,就一定存在潛在漏洞��。當電動車接入聯(lián)網(wǎng)充電樁時��,多臺計算設(shè)備間的級聯(lián)雙工通信也會同步開啟——車輛與充電樁間���、充電樁與車主手機應用間�����、充電樁與電網(wǎng)間�����、充電樁與后端管理系統(tǒng)間�����、管理系統(tǒng)與支付網(wǎng)關(guān)間����,再加上管理系統(tǒng)與充電樁運營商間��。由此造成的巨大攻擊面不難想象�。
要保護電車充電網(wǎng)絡(luò)��、個人與支付數(shù)據(jù)乃至電網(wǎng)的端到端安全性�����,整個電車充電生態(tài)系統(tǒng)都必須做出協(xié)調(diào)與承諾���。
前進方向:標準與協(xié)議
電車充電與能源管理解決方案供應商,必須遵守由開放式充電聯(lián)盟(OCA)和國際標準化組織(ISO)等全球聯(lián)盟制定的行業(yè)協(xié)議與標準�����,借此獲得保護����。不止如此,電車充電樁制造商及其次級供應商��、汽車制造商以及公共事業(yè)企業(yè)也都需要參與進來�。
保障網(wǎng)絡(luò)安全的關(guān)鍵,在于開放式充電點協(xié)議(OCPP)����。該協(xié)議負責管理充電站與中央管理系統(tǒng)間的通信��,其最新版本包含安全連接設(shè)置、安全事件與日志記錄���,以及安全固件更新等相關(guān)標準�����。
另一項舉措則是ISO 27001�,這是一套涵蓋企業(yè)信息安全與風險管理流程中具體法律����、物理和技術(shù)控制要求的綜合性框架。相關(guān)合規(guī)性將確保所有相關(guān)流程��、程序和工具得到實施與監(jiān)控��,保護電車充電平臺��。
國際標準ISO 15118.20于2022年發(fā)布更新版�����,旨在加強充電站與電車間雙工通信的安全要求�。此項標準提供即插即用功能,使用安全證書自動識別充電樁上的電車并驗證支付方式�����,甚至可以管理車輛到電網(wǎng)(V2G)所需的數(shù)據(jù)交換,將存儲在車載電池中的電力傳回電網(wǎng)����。
以IT安全最佳實踐
建立多層保護
電車充電生態(tài)系統(tǒng)廠商向IT安全最佳實踐邁出的第一步,就是調(diào)整自身組織結(jié)構(gòu):聘請首席信息安全官(CISO)�����。面對巨大的攻擊面��,以及保護數(shù)據(jù)免受內(nèi)外部攻擊影響這一基本目標���,CISO需要與首席技術(shù)官(CTO)密切合作�,協(xié)調(diào)IT安全與電車充電設(shè)施安全��。
X.509公鑰基礎(chǔ)設(shè)施(PKI)���、傳輸層安全(TLS)���、安全“隧道”等IT安全最佳實踐能夠加密網(wǎng)絡(luò)傳輸數(shù)據(jù),進而保護云端管理軟件�����、電車充電樁��、電車及電網(wǎng)間的通信與數(shù)據(jù)交換�����。
電車充電設(shè)施供應商還應當關(guān)注涉及個人身份信息的數(shù)據(jù)隱私法規(guī)��。任何傳輸���、處理或存儲個人身份信息的組織�����,都應遵守歐盟的《通用數(shù)據(jù)保護條例》(GDPR)�、日本的《個人信息保護法》(APPI)�、美國《加州消費者隱私法》(CCPA)和新的《加州隱私權(quán)法》(CPRA)。
支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)和SOC 1安全標準則提供安全控制與措施���,確保在傳輸和存儲期間保護信用卡/借記卡交易活動�。具體控制措施包括使用令牌而非可讀數(shù)據(jù)�,且僅存儲信用卡號的最后四位數(shù)字�。計費管理系統(tǒng)的智能安全措施�����,也有助于識別和防范付款欺詐��。
端點檢測與響應(EDR)系統(tǒng)能持續(xù)監(jiān)控接入電車充電管理平臺的設(shè)備����,識別入侵并實現(xiàn)快速響應,讓網(wǎng)絡(luò)犯罪分子無法滲透網(wǎng)絡(luò)并橫移至管理軟件����、汽車、電網(wǎng)等其他組件����。
另外,應開展年度設(shè)施與應用程序滲透測試���,并為發(fā)現(xiàn)的潛在漏洞制定出可靠的解決計劃����。
寫在最后
保護電車充電設(shè)施免受網(wǎng)絡(luò)犯罪侵害,應當成為生態(tài)系統(tǒng)中各參與方的共同責任�����。無論你正考慮在營業(yè)場所內(nèi)部署電車充電樁�、還是作為生態(tài)系統(tǒng)內(nèi)的重要參與者����,都必須始終將安全放在首位。
IT安全行業(yè)已經(jīng)達成重要共識�,即電車安全將是一場持久戰(zhàn)。電車充電生態(tài)系統(tǒng)的普及度越高���,帶給網(wǎng)絡(luò)犯罪分子的經(jīng)濟利益和價值吸引力就越大���。這將是一場永無止境的對抗,我們必須搶在惡意黑客和潛在威脅之前����,迅速做出反應。
參考資料:darkreading.com
來源:安全內(nèi)參
在線咨詢
在線咨詢
0371-63319761