充电桩频频曝出高危漏洞,充电基础设施安全该怎么做?
2023-2-10 09:59:38 Author: 黑白之道(查看原文) 阅读量:13 收藏

要保护电车充电网络、个人与支付数据乃至电网的端到端安全性,整个电车充电生态系统都必须做出协调与承诺。

安全内参2月3日消息,随着更多国家逐步迈向电动汽车多于燃油汽车的临界点,全球公共和私营部门也开始迫切投资于电车充电设施。建立这样一个强大且安全的电车充电生态系统,既有助于保障网络可用性和稳定性,也能为驾驶员提供无缝充电体验并助力实现零排放目标。
一方面,电车充电设施的建设工作正热火朝天地进行;另一方面,充电设施的普及也伴随着网络安全风险的增加,网络犯罪分子已经注意到了这一点。
当前,电车充电装置本身已经成为一大攻击目标。黑客可能向其植入勒索软件,也可能劫持设备并在提示屏幕上显示政治性或其他令人反感的内容。据安全内参了解,近年来已出现多起漏洞事件。
2021年7月,PenTestPartners团队研究了6款在欧洲和美国流行的充电桩品牌,发现一系列电车充电桩的软硬件漏洞,可导致远程控制充电器乃至进一步破坏电网稳定性等危害
2023年2月,Saiflow团队发现开放式充电点协议OCPP的某些版本存在漏洞,可导致远程关闭充电器或免费充电

漏洞范围不止于充电桩与电动汽车

随着电动汽车生态系统的发展和攻击面扩大,用于对接充电桩及其管理系统的通信网络、在这些网络中传输的个人数据、收取费用的充电桩运营商以及电网本身,都越来越容易遭受攻击。具体风险包括但不限于:

  • 公共充电网络的运营中断,导致大量充电桩无法使用并影响交通运行;

  • 劫持充电桩网络,将充电桩作为大规模分布式拒绝服务(DDoS)攻击中的肉鸡;

  • 窃取客户的个人身份信息(PII),包括支付卡信息;

  • 涉及电动车充电费用的欺诈活动;

  • 电网中断,导致停电并造成设备损坏;

  • 损害电动车充电服务商的商业信誉。

安全专家们都清楚,只要任意两点间在进行数字通信,就一定存在潜在漏洞。当电动车接入联网充电桩时,多台计算设备间的级联双工通信也会同步开启——车辆与充电桩间、充电桩与车主手机应用间、充电桩与电网间、充电桩与后端管理系统间、管理系统与支付网关间,再加上管理系统与充电桩运营商间。由此造成的巨大攻击面不难想象。

要保护电车充电网络、个人与支付数据乃至电网的端到端安全性,整个电车充电生态系统都必须做出协调与承诺

前进方向:标准与协议

电车充电与能源管理解决方案供应商,必须遵守由开放式充电联盟(OCA)和国际标准化组织(ISO)等全球联盟制定的行业协议与标准,借此获得保护。不止如此,电车充电桩制造商及其次级供应商、汽车制造商以及公共事业企业也都需要参与进来。

保障网络安全的关键,在于开放式充电点协议(OCPP)。该协议负责管理充电站与中央管理系统间的通信,其最新版本包含安全连接设置、安全事件与日志记录,以及安全固件更新等相关标准。

另一项举措则是ISO 27001,这是一套涵盖企业信息安全与风险管理流程中具体法律、物理和技术控制要求的综合性框架。相关合规性将确保所有相关流程、程序和工具得到实施与监控,保护电车充电平台。

国际标准ISO 15118.20于2022年发布更新版,旨在加强充电站与电车间双工通信的安全要求。此项标准提供即插即用功能,使用安全证书自动识别充电桩上的电车并验证支付方式,甚至可以管理车辆到电网(V2G)所需的数据交换,将存储在车载电池中的电力传回电网。

以IT安全最佳实践建立多层保护

电车充电生态系统厂商向IT安全最佳实践迈出的第一步,就是调整自身组织结构:聘请首席信息安全官(CISO)。面对巨大的攻击面,以及保护数据免受内外部攻击影响这一基本目标,CISO需要与首席技术官(CTO)密切合作,协调IT安全与电车充电设施安全。

X.509公钥基础设施(PKI)、传输层安全(TLS)、安全“隧道”等IT安全最佳实践能够加密网络传输数据,进而保护云端管理软件、电车充电桩、电车及电网间的通信与数据交换。

电车充电设施供应商还应当关注涉及个人身份信息的数据隐私法规。任何传输、处理或存储个人身份信息的组织,都应遵守欧盟的《通用数据保护条例》(GDPR)、日本的《个人信息保护法》(APPI)、美国《加州消费者隐私法》(CCPA)和新的《加州隐私权法》(CPRA)。

支付卡行业数据安全标准(PCI DSS)和SOC 1安全标准则提供安全控制与措施,确保在传输和存储期间保护信用卡/借记卡交易活动。具体控制措施包括使用令牌而非可读数据,且仅存储信用卡号的最后四位数字。计费管理系统的智能安全措施,也有助于识别和防范付款欺诈。

端点检测与响应(EDR)系统能持续监控接入电车充电管理平台的设备,识别入侵并实现快速响应,让网络犯罪分子无法渗透网络并横移至管理软件、汽车、电网等其他组件。

另外,应开展年度设施与应用程序渗透测试,并为发现的潜在漏洞制定出可靠的解决计划。

写在最后

保护电车充电设施免受网络犯罪侵害,应当成为生态系统中各参与方的共同责任。无论你正考虑在营业场所内部署电车充电桩、还是作为生态系统内的重要参与者,都必须始终将安全放在首位。

IT安全行业已经达成重要共识,即电车安全将是一场持久战。电车充电生态系统的普及度越高,带给网络犯罪分子的经济利益和价值吸引力就越大。这将是一场永无止境的对抗,我们必须抢在恶意黑客和潜在威胁之前,迅速做出反应。

参考资料:https://www.darkreading.com/attacks-breaches/security-and-the-electric-vehicle-charging-infrastructure

文章来源:安全内参

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650563203&idx=3&sn=7bdd203433d8dac806d40b2d78676e1b&chksm=83bd0767b4ca8e71e5d9dafd113009af645a96109c27ba513e68b0d13ebd17aa7ebb9704d439#rd
如有侵权请联系:admin#unsafe.sh