其他
充电桩频频曝出高危漏洞,充电基础设施安全该怎么做?
关注我们
带你读懂网络安全
要保护电车充电网络、个人与支付数据乃至电网的端到端安全性,整个电车充电生态系统都必须做出协调与承诺。
前情回顾·新基建安全
漏洞范围
不止于充电桩与电动汽车
随着电动汽车生态系统的发展和攻击面扩大,用于对接充电桩及其管理系统的通信网络、在这些网络中传输的个人数据、收取费用的充电桩运营商以及电网本身,都越来越容易遭受攻击。具体风险包括但不限于:
公共充电网络的运营中断,导致大量充电桩无法使用并影响交通运行; 劫持充电桩网络,将充电桩作为大规模分布式拒绝服务(DDoS)攻击中的肉鸡; 窃取客户的个人身份信息(PII),包括支付卡信息; 涉及电动车充电费用的欺诈活动; 电网中断,导致停电并造成设备损坏; 损害电动车充电服务商的商业信誉。
前进方向:标准与协议
电车充电与能源管理解决方案供应商,必须遵守由开放式充电联盟(OCA)和国际标准化组织(ISO)等全球联盟制定的行业协议与标准,借此获得保护。不止如此,电车充电桩制造商及其次级供应商、汽车制造商以及公共事业企业也都需要参与进来。保障网络安全的关键,在于开放式充电点协议(OCPP)。该协议负责管理充电站与中央管理系统间的通信,其最新版本包含安全连接设置、安全事件与日志记录,以及安全固件更新等相关标准。另一项举措则是ISO 27001,这是一套涵盖企业信息安全与风险管理流程中具体法律、物理和技术控制要求的综合性框架。相关合规性将确保所有相关流程、程序和工具得到实施与监控,保护电车充电平台。国际标准ISO 15118.20于2022年发布更新版,旨在加强充电站与电车间双工通信的安全要求。此项标准提供即插即用功能,使用安全证书自动识别充电桩上的电车并验证支付方式,甚至可以管理车辆到电网(V2G)所需的数据交换,将存储在车载电池中的电力传回电网。
以IT安全最佳实践
建立多层保护
电车充电生态系统厂商向IT安全最佳实践迈出的第一步,就是调整自身组织结构:聘请首席信息安全官(CISO)。面对巨大的攻击面,以及保护数据免受内外部攻击影响这一基本目标,CISO需要与首席技术官(CTO)密切合作,协调IT安全与电车充电设施安全。X.509公钥基础设施(PKI)、传输层安全(TLS)、安全“隧道”等IT安全最佳实践能够加密网络传输数据,进而保护云端管理软件、电车充电桩、电车及电网间的通信与数据交换。电车充电设施供应商还应当关注涉及个人身份信息的数据隐私法规。任何传输、处理或存储个人身份信息的组织,都应遵守欧盟的《通用数据保护条例》(GDPR)、日本的《个人信息保护法》(APPI)、美国《加州消费者隐私法》(CCPA)和新的《加州隐私权法》(CPRA)。支付卡行业数据安全标准(PCI DSS)和SOC 1安全标准则提供安全控制与措施,确保在传输和存储期间保护信用卡/借记卡交易活动。具体控制措施包括使用令牌而非可读数据,且仅存储信用卡号的最后四位数字。计费管理系统的智能安全措施,也有助于识别和防范付款欺诈。端点检测与响应(EDR)系统能持续监控接入电车充电管理平台的设备,识别入侵并实现快速响应,让网络犯罪分子无法渗透网络并横移至管理软件、汽车、电网等其他组件。另外,应开展年度设施与应用程序渗透测试,并为发现的潜在漏洞制定出可靠的解决计划。
写在最后
保护电车充电设施免受网络犯罪侵害,应当成为生态系统中各参与方的共同责任。无论你正考虑在营业场所内部署电车充电桩、还是作为生态系统内的重要参与者,都必须始终将安全放在首位。IT安全行业已经达成重要共识,即电车安全将是一场持久战。电车充电生态系统的普及度越高,带给网络犯罪分子的经济利益和价值吸引力就越大。这将是一场永无止境的对抗,我们必须抢在恶意黑客和潜在威胁之前,迅速做出反应。
参考资料:darkreading.com
推荐阅读