充電樁頻頻曝出高危漏洞，充電基礎設施安全該怎么做？

要保護電車充電網絡、個人與支付數據乃至電網的端到端安全性，整個電車充電生態系統都必須做出協調與承諾。

安全內參2月3日消息，隨著更多國家逐步邁向電動汽車多于燃油汽車的臨界點，全球公共和私營部門也開始迫切投資于電車充電設施。建立這樣一個強大且安全的電車充電生態系統，既有助于保障網絡可用性和穩定性，也能為駕駛員提供無縫充電體驗并助力實現零排放目標。

一方面，電車充電設施的建設工作正熱火朝天地進行；另一方面，充電設施的普及也伴隨著網絡安全風險的增加，網絡犯罪分子已經注意到了這一點。

當前，電車充電裝置本身已經成為一大攻擊目標。黑客可能向其植入勒索軟件，也可能劫持設備并在提示屏幕上顯示政治性或其他令人反感的內容。據安全內參了解，近年來已出現多起漏洞事件。

2021年7月，PenTestPartners團隊研究了6款在歐洲和美國流行的充電樁品牌，發現一系列電車充電樁的軟硬件漏洞，可導致遠程控制充電器乃至進一步破壞電網穩定性等危害。

2023年2月，Saiflow團隊發現開放式充電點協議OCPP的某些版本存在漏洞，可導致遠程關閉充電器或免費充電。

漏洞范圍不止于充電樁與電動汽車

隨著電動汽車生態系統的發展和攻擊面擴大，用于對接充電樁及其管理系統的通信網絡、在這些網絡中傳輸的個人數據、收取費用的充電樁運營商以及電網本身，都越來越容易遭受攻擊。具體風險包括但不限于：

• 公共充電網絡的運營中斷，導致大量充電樁無法使用并影響交通運行；
• 劫持充電樁網絡，將充電樁作為大規模分布式拒絕服務（DDoS）攻擊中的肉雞；
• 竊取客戶的個人身份信息（PII），包括支付卡信息；
• 涉及電動車充電費用的欺詐活動；
• 電網中斷，導致停電并造成設備損壞；
• 損害電動車充電服務商的商業信譽。

安全專家們都清楚，只要任意兩點間在進行數字通信，就一定存在潛在漏洞。當電動車接入聯網充電樁時，多臺計算設備間的級聯雙工通信也會同步開啟——車輛與充電樁間、充電樁與車主手機應用間、充電樁與電網間、充電樁與后端管理系統間、管理系統與支付網關間，再加上管理系統與充電樁運營商間。由此造成的巨大攻擊面不難想象。

要保護電車充電網絡、個人與支付數據乃至電網的端到端安全性，整個電車充電生態系統都必須做出協調與承諾。

前進方向：標準與協議

電車充電與能源管理解決方案供應商，必須遵守由開放式充電聯盟（OCA）和國際標準化組織（ISO）等全球聯盟制定的行業協議與標準，借此獲得保護。不止如此，電車充電樁制造商及其次級供應商、汽車制造商以及公共事業企業也都需要參與進來。

保障網絡安全的關鍵，在于開放式充電點協議（OCPP）。該協議負責管理充電站與中央管理系統間的通信，其最新版本包含安全連接設置、安全事件與日志記錄，以及安全固件更新等相關標準。

另一項舉措則是ISO 27001，這是一套涵蓋企業信息安全與風險管理流程中具體法律、物理和技術控制要求的綜合性框架。相關合規性將確保所有相關流程、程序和工具得到實施與監控，保護電車充電平臺。

國際標準ISO 15118.20于2022年發布更新版，旨在加強充電站與電車間雙工通信的安全要求。此項標準提供即插即用功能，使用安全證書自動識別充電樁上的電車并驗證支付方式，甚至可以管理車輛到電網（V2G）所需的數據交換，將存儲在車載電池中的電力傳回電網。

以IT安全最佳實踐建立多層保護

電車充電生態系統廠商向IT安全最佳實踐邁出的第一步，就是調整自身組織結構：聘請首席信息安全官（CISO）。面對巨大的攻擊面，以及保護數據免受內外部攻擊影響這一基本目標，CISO需要與首席技術官（CTO）密切合作，協調IT安全與電車充電設施安全。

X.509公鑰基礎設施（PKI）、傳輸層安全（TLS）、安全“隧道”等IT安全最佳實踐能夠加密網絡傳輸數據，進而保護云端管理軟件、電車充電樁、電車及電網間的通信與數據交換。

電車充電設施供應商還應當關注涉及個人身份信息的數據隱私法規。任何傳輸、處理或存儲個人身份信息的組織，都應遵守歐盟的《通用數據保護條例》（GDPR）、日本的《個人信息保護法》（APPI）、美國《加州消費者隱私法》（CCPA）和新的《加州隱私權法》（CPRA）。

支付卡行業數據安全標準（PCI DSS）和SOC 1安全標準則提供安全控制與措施，確保在傳輸和存儲期間保護信用卡/借記卡交易活動。具體控制措施包括使用令牌而非可讀數據，且僅存儲信用卡號的最后四位數字。計費管理系統的智能安全措施，也有助于識別和防范付款欺詐。

端點檢測與響應（EDR）系統能持續監控接入電車充電管理平臺的設備，識別入侵并實現快速響應，讓網絡犯罪分子無法滲透網絡并橫移至管理軟件、汽車、電網等其他組件。

另外，應開展年度設施與應用程序滲透測試，并為發現的潛在漏洞制定出可靠的解決計劃。

寫在最后

保護電車充電設施免受網絡犯罪侵害，應當成為生態系統中各參與方的共同責任。無論你正考慮在營業場所內部署電車充電樁、還是作為生態系統內的重要參與者，都必須始終將安全放在首位。

IT安全行業已經達成重要共識，即電車安全將是一場持久戰。電車充電生態系統的普及度越高，帶給網絡犯罪分子的經濟利益和價值吸引力就越大。這將是一場永無止境的對抗，我們必須搶在惡意黑客和潛在威脅之前，迅速做出反應。