警惕電動汽車充電基礎設施的“安全債”

隨著全球電動汽車市場的加速增長，相對滯后的電動車充電基礎設施正暴露出越來越多的安全漏洞，成為黑客和網絡安全研究人員關注的熱點。

五大安全威脅

電動車充電基礎設施的安全風險通常可以歸為以下幾類：

1.物理攻擊：這種攻擊可能會對充電設施造成損害，妨礙正常的電力傳輸。攻擊形式包括惡意破壞、搬走設備等。

2.網絡攻擊：電動車充電設施需要聯網與中心服務器通信，網絡攻擊可能導致黑客利用漏洞攻擊系統，破壞設備，并可能竊取用戶的個人信息、支付信息等。

3.供電風險：電動車充電設施需要穩定的電力供應，電力供應發生故障，設備可能無法正常工作，導致充電服務無法提供。同時，大量高負載的電動車充電設施如果遭受網絡攻擊，也將會對電網自身的安全運營造成巨大威脅。

4.用戶隱私風險：電動車充電設施通常需要用戶提供個人信息、車輛信息、財務（支付）信息等，這些信息可能受到黑客攻擊或泄露的風險。不僅僅是特斯拉、小鵬等新能源車企，起亞、寶馬、豐田等傳統車企近年來已經多次曝出用戶隱私泄露事件。

5.惡意軟件攻擊：電動車充電設施上可能會存在惡意軟件或病毒，攻擊者可通過這種方式攻擊充電設施，竊取用戶信息或穩定設備等。

漏洞與銷量齊飛

在電動車充電基礎設施面臨的網絡攻擊風險中，協議級和系統級漏洞又是最為致命和影響巨大的安全漏洞。

今年2月，能源網絡網絡安全公司Saiflow的研究人員在開放式充電點協議(OCPP)中發現了兩個漏洞，可用于分布式拒絕服務(DDoS)攻擊和竊取敏感信息。

而根據愛達荷國家實驗室的最新發現，電動車充電樁等電動汽車供電設備(EVSE)運行的是過時版本的Linux，啟動了很多不必要的服務，其中很多服務都以root身份運行，根據《能源》雜志發表的電動汽車充電漏洞研究論文，其他潛在的攻擊還包括中間人攻擊(AitM)和服務在互聯網上的公開暴露。

風險不僅僅是理論上的：一年前，在俄烏戰爭爆發后，親烏克蘭的黑客破壞了莫斯科附近的充電站，使其一度癱瘓。

根據JD Power的數據，電動汽車銷量在美國騰飛之際，網絡安全問題也開始浮現，電動汽車銷量占2022年所有汽車銷量的5.8%，高于前一年的3.2%。根據美國能源部的數據，目前美國可用的2級和直流快速充電站不到5.1萬個，能夠同時為13萬輛汽車充電。截至2022年6月，已有超過150萬輛電動汽車注冊，這意味著每個公共充電口有11輛汽車。

為滿足需求，電動汽車充電領域的主要參與者都制定了重大的擴張計劃，拜登政府的目標是到2030年將電動車充電樁數量增加到50萬個。

工業網絡安全提供商Dragos的高級戰略總監Phil Tonkin指出，急于建立一個全面的充電基礎設施可能會以犧牲網絡安全為代價。考慮到電動車充電基礎設施的連通性以及利用高壓負載可能造成損害的能力，電動車充電基礎設施面臨的網絡安全威脅尤其嚴峻。

“大多數電動車充電樁都可以看作是物聯網(IoT)設備，但與普通的低功耗物聯網設備不同，電動車充電設備控制著大量電力負載，”他補充說：“如此多的大功率充電設備連接匯聚到少數系統，聚合風險極大，需要謹慎實施。”

一場高風險的技術風暴

電動汽車充電基礎設施是一場技術風暴，集成了云計算、軟件、物聯網、OT和關鍵基礎設施等大量技術。電動車充電設備通過移動應用程序互聯，面臨與

其他物聯網設備相同的風險，同時，電動車充電設備像其他運營技術(OT)一樣是交通網絡的重要組成部分。最后，由于電動汽車充電站需要連接到公共網絡，因此還依賴通信加密技術來保障其網絡安全。

Dragos的安全專家指出：“黑客活動分子總是會在公共網絡上尋找安全性較差的設備，電動汽車的所有者要采取必要控制措施，以確保不會成為唾手可得的攻擊目標。”“電動車充電設施運營商最關鍵的基礎設施是中央平臺，因為充電樁會信任和響應從中央平臺推送的指令。”

消費端充電設備也是一個問題。根據ChargePoint數據，美國大約80%的電動車在家中充電。但不幸的是，這些設備可能更容易遭受網絡攻擊，由于消費者缺乏此類安全意識，也沒有能力解決充電樁的網絡安全問題，充電樁設備供應商和提供通信服務的云服務商應該承擔相關安全責任。

政府應該發揮什么作用？

安全專家們表示，政府應該為相關公司提供標準規范和最佳實踐，以防止網絡安全漏洞。桑迪亞國家實驗室建議政府采取多項舉措來加強網絡安全，包括改進電動車主身份驗證和授權、為充電基礎設施的云組件增加更多安全措施，以及加強充電裝置以防止物理篡改。

“以預算為導向的公司并不總是選擇滿足網絡安全要求的實施方式，”桑迪亞網絡安全專家布賴恩賴特指出：“政府可以通過提供相關建議、標準、法規和最佳實踐來直接提升該行業的網絡安全態勢。”