電動汽車充電基礎設施與安全
隨著電動汽車(EV)在越來越多國家中的普及,公共部門以及私營部門都開始急迫地投資于電動汽車充電基礎設施。建立一個強大且高度安全的EV充電生態在確保網絡的可用性和穩定性、為司機提供無縫的充電體驗,以及實現零排放運輸等方面都至關重要。
一方面,電動汽車充電基礎設施的建設正在蓬勃發展。但另一方面,網絡安全風險也隨著充電基礎設施的普及而不斷增加。網絡犯罪分子已經注意到了這一點。
目前,EV充電樁本身已經成為了主要的攻擊目標。黑客的攻擊手段眾多,包括植入勒索軟件,或者是劫持充電樁信息屏幕,用以顯示具有政治動機或令人反感的內容。不久前,一位白帽安全專家向人們展示了EV充電設施的軟件和硬件中所存在的漏洞,給制造商們敲響了警鐘。并且近期頻發的黑客攻擊活動也進一步表明:EV正不斷陷入風險之中。
漏洞不僅存在于充電樁和EV
隨著EV生態系統的增長和攻擊面的擴張,將充電樁與其管理系統連接起來的通信網絡、貫穿這些網絡的個人數據、收費點運營商以及電網本身都變得越來越脆弱。這些風險包括(但不限于):
? 公共充電樁網絡運行中斷,導致大量充電樁無法使用,干擾運輸
? 接管充電樁網絡,將充電樁作為DDoS攻擊中的肉雞
? 盜竊客戶的個人身份信息(PII)(包括支付卡信息)
? EV充電中的電費欺詐支付
? 電網中斷,導致停電和設備損壞
? 損害EV充電供應商的聲譽
其實,只要在兩端點之間進行數字通信,就一定會存在潛在的漏洞。當EV與聯網充電樁連接時,多臺計算機之間也開始了雙向通信,包括車輛和充電樁、充電樁和司機的移動應用程序、充電樁和電網、充電樁和后端管理系統、管理系統和支付網關,以及管理系統和充電點操作員之間的通信。這樣一個廣闊的攻擊面就形成了。
要保護EV充電網絡、個人和支付數據以及電網,就需要整個EV充電生態系統的協調和承諾,以實現所需的端到端安全。
相關標準和協議開辟了一條前進的道路
EV充電和能源管理解決方案提供商必須遵守由開放充電聯盟( Open Charge Alliance,OCA)和國際標準化組織(International Organization for Standardization ,ISO)制定的行業協議和標準,并提供相應的保護。
而開放充電點協議( Open Charge Point Protocol,OCPP)則是實現網絡安全的關鍵。它管理著充電站和中央管理系統之間的通信。其最新版本包含了針對安全連接設置、安全事件、安全日志以及安全固件更新的標準。
另一項重要的措施是ISO 27001。這是一個全面的框架,它涵蓋了公司信息安全和風險管理過程中涉及的法律、物理和技術控制。其合規性確保了所有相關流程、程序以及工具的實施和監控,從而對EV充電平臺進行保護。
ISO 15118.20是一項于2022年更新的國際標準,旨在加強充電站和EV之間雙向通信的安全要求。該標準提供了即插即充電的功能,使用安全證書來自動識別EV,并驗證支付方式。同時,它還管理著車輛到電網(V2G)所需的數據交換,將存儲在電動汽車電池中的能量送回電網。
IT安全最佳實踐提供了多層保護
對于EV充電生態系統公司來說,要考慮的第一個IT安全最佳實踐就是雇傭一名首席信息安全官(CISO)。并且由于攻擊面廣泛,組織需要保護數據免受來自內部以及外部的攻擊,所以CISO應該與首席技術官(CTO)密切合作,以協調IT安全以及EV充電基礎設施安全。
云上的管理軟件、EV充電樁、EV和電網之間的通信和數據交換可以通過IT安全最佳實踐來進行保護,例如X.509公鑰基礎設施(PKI)、傳輸層安全(TLS)、或者通過互聯網進行安全的“通道連接”和數據加密。
EV充電基礎設施供應商還必須關注專門針對PII的數據隱私法規。任何運輸、處理或存儲PII的組織都應遵守歐盟的通用數據保護條例(the General Data Protection Regulation,GDPR)、日本的《個人信息保護法》(the Protection of Personal Information,APPI)、加州消費者隱私法(the California Consumer Privacy,CCPA)以及新發布的《加州隱私權法案》( California Privacy Rights Act ,CPRA)。
遵循支付卡行業數據安全標準(PCI DSS)和SOC 1安全標準可以提供安全控制和措施,以保護在交易過程中的信用卡和借記卡交易的傳輸和存儲安全。其中的控制措施包括使用代幣代替可讀數據,以及僅存儲信用卡的最后四位數字。此外,計費管理系統的智能保障措施可以識別并防止欺詐性支付。
端點檢測與響應(EDR)系統會持續對連接到電子充電管理平臺的設備進行監控,識別入侵,并實現快速響應,使網絡犯罪分子無法對網絡進行滲透。
最后,對基礎設施和應用程序進行年度的滲透測試也是至關重要的,這有助于組織發現潛在的漏洞,進而建立解決它們的堅實計劃。
結語
保護EV充電基礎設施免受網絡犯罪分子的攻擊是全體EV生態參與者的責任。無論是打算在辦公點安裝EV充電裝置的人,還是該生態中的積極參與者,對他們來說安全都是首要考慮的問題。并且,這將是一個持續的挑戰。EV充電生態系統發展得越快,那么它在網絡不法分子眼中的價值就越大。風險與挑戰將會持續存在,我們要努力做到時刻領先于敵人,并在未知威脅出現時迅速做出響應。
