近年来,我国新能源汽车产销两旺,充电需求逐年增长。充电桩作为新能源汽车重要配套基础设施之一,得到了广泛应用。当车主想要为汽车充电时,只需对着车机系统发出声控指令,或直接在充电小程序里搜索附近闲置充电桩,就能很快找到。
万物互联,极大便利了人们的生活。然而,在享受“信息红利”的同时,也面临着“信息危机”。随着智慧的物联设备一同而来的,还有危险的安全漏洞。关注大数据安全解决方案的北京创安恒宇调研报告指出:5G、大数据、云计算、区块链、人工智能等数字技术在充电桩领域广泛应用,充电桩产业数字化已成为大势所趋。这一趋势使得新能源汽车充电更加方便快捷,但同时也意味着数据和信息更容易被攻击、泄露和被滥用。
充电桩面临网络安全危机
在2020年的国际安全极客大赛上,参赛队伍腾讯BladeTeam演示了对“无感支付”式直流充电桩的漏洞攻击。团队仅需获得模拟受害者的车辆身份标识,并使用特殊设备连接“无感支付”直流充电桩与汽车,就能利用充电桩通信协议漏洞完成“盗刷”操作。
▲9月3日,江苏常州,新能源电动汽车在光储充一体化能源站充电桩充电。王启明摄(人民图片)
2020年12月,杭州某充电桩APP公司发现,有一批长期未使用的账户突然活跃并开始在全国各地充电使用,而且有相同账户、相同时间在不同区域使用的情况。经排查发现,有人利用技术手段,绕过应有的验证程序,抓取数据,篡改信息,窃取这些账户余额对充电桩发起充电指令。
近年来,新能源汽车充电设施正成为网络攻击的新目标,黑客入侵充电桩盗取信息、造成破坏的事件已在全球多地屡见不鲜。
在俄乌冲突爆发初期,黑客入侵了俄罗斯某主干道沿线的充电桩并造成破坏。2022年4月,英国BBC报道黑客攻击了英格兰怀特岛的三个充电桩,攻击者窃取了用户的账户信息和充电记录等敏感信息。
今年2月,新能源网络安全公司Saiflow的研究人员在开放充电点协议中发现了两个漏洞,可用于分布式拒绝服务攻击和窃取敏感信息。而爱达荷国家实验室近期发现,根据《能源》杂志对电动车充电漏洞研究的调查,所检查的每个充电器仍然在运行未更新的版本,允许许多服务以root身份运行,而且这些潜在的风险已经被不法分子利用。
充电桩安全漏洞绝非小事。以色列汽车网络安全平台供应商Upstream Security的CEO约阿夫·利维表示,新能源汽车的充电桩让黑客们找到了新的赚钱路子,充电桩被黑数量不断上升,未来会更加普遍。
我国拥有全球最多的新能源汽车充电桩,已构建起庞大的能源互联网。根据中国电动汽车充电基础设施促进联盟发布的统计数据显示,截至2022年12月,全国充电基础设施累计数量达到521万台。业内人士表示,若不加强能源互联网的数字安全建设,这些充电桩极有可能成为黑客攻击的 “高速绿色通道”。
充电桩信息安全亟须重视
充电桩和很多智能产品一样,在被大规模投放到市场的同时,并未同步形成与之匹配的网络防护能力。
▲6月20日,江西省瑞昌经开区科技园江西瑞华智能科技有限公司生产车间内,工人正在赶制新能源汽车智能无线充电桩。魏东升摄(人民图片)
“当前,安全防护大多集中在新能源车辆电池安全、对充电环境主动监测防护和充换电大数据的对比检测上,如电池散热、失控管理、充电桩‘快充+过充’、电芯质量等问题。”中国软件行业协会智能网联汽车行业分会专家表示,当前智能充电桩系统现有网络边缘尚未建立起完善的本地安全防护能力,无法提供对充电桩终端的安全防护。如由于充电桩缺少集中管理平台,无法验证恶意访问来源并快速定位被攻击智能充电桩,所以无法即时监控和评估对平台和用户信息资产的威胁状态,并进行分析。
北京中科晶上科技股份有限公司副总经理袁尧在接受记者采访时表示,造成信息安全防护不足的一大原因,是现阶段缺少对信息安全的保护意识。目前市场更加关注充电桩的便捷与互联互通,缺少对信息安全、数据安全的考虑。
在互联网和移动互联网时代,由于缺乏足够的防范意识,电脑、手机等互联网设备都存在容易遭到病毒攻击、泄露信息与数据的风险。如今即将进入物联网时代,作为物联设备的新能源汽车充电桩也面临同样的危机。
袁尧指出,“目前充电桩信息安全问题只在一定范围内造成影响,尚未引起足够重视。或许在未来某一天,一件标志性的信息泄露大事件发生之后,人们才能意识到保护信息安全的重要性。”
除此之外,维护信息安全的经济成本较高,也是充电桩企业迟迟未能建立完善的信息数据安全系统的原因之一。
增强充电桩信息防护能力需多方发力
充电桩是我国新基建的重点领域之一,承载着海量的用户信息和重要数据,其信息安全问题不容忽视。
业内人士指出,目前充电桩需要统筹管理。北京创安恒宇相关研究人员认为,充电桩或充电站存在点多、面广、分散的特点,其端、管、云均缺少有效的安全防护机制,每个节点都容易遭到入侵,如充电桩自身的系统安全,与本地充电站的数据传输、充电站与运营平台的数据传输,运营平台的平稳运营,用户结算安全等多个领域均存在安全隐患。
▲8月11日,在河南省洛阳市洛宁县洛阳嘉盛电源科技有限公司生产车间,工人正加紧生产一批电动汽车充电桩。张怡熙摄(人民图片)
这方面,我国已经有了相关范例。2017年5月,贵州省电动汽车充电设施运营监控与服务平台正式上线运行,标志着全国首个省级统一电动汽车充电公共服务平台正式上线。公共平台将全省范围内各个不同运营商的充电设施进行统一接入,实现了全省桩、网的互联互通,向社会公众提供统一标准、方便快捷的优质充电服务。同时结合贵州省大数据产业国家级新区的发展建设,实现同“云上贵州”大数据平台的融合应用,构建大数据共享应用生态圈。
国家智能网联汽车创新中心信息安全部部长罗承刚指出,数据安全需从监管、标准、管理、技术方面共同推进。
“从管理层面讲,政府应加快建立更加严格的充电桩行业准入标准、安全标准,做好把关工作。从技术层面上看,企业制定物端设备接入协议应更加完善,特别是针对信息安全领域做好防范和补充。”袁尧说。
对于充电桩信息安全防御能力问题,有业内专家指出,保障用户数据的安全,需采取多项措施。首先,在设计产品之初,就要充分考虑数据安全风险,并采用加密技术来保护用户的隐私,如对充电桩的信息读取过程、数据传输过程加密。其次,建议定期进行数据备份和恢复演练,确保数据不会丢失或被破坏。最后,与第三方安全公司合作,对充电桩进行定期安全检查,确保系统的稳定性和可靠性。“如此一来,不仅可以百分之百地预防所有已知的风险,同样可以抵挡绝大多数的未知风险”。Tellus Power集团VP Srikanth表示。
频发的信息安全风险,也开始让企业意识到充电领域安全防护的重要性。据了解,东风、广汽等相关车企针对智能汽车的网联系统等采用了双安全组件,支持功能安全最高的ASIL D级,智能网联云平台则采用了国密级别数据安全保护算法,对个人敏感数据脱敏处理,保证用户数据安全。
充电桩既要装得上,也要用得好。随着新能源汽车不断发展,我国充电设施行业的发展从初期的粗放型管理,正循序进入合理建设、优化运营、智慧赋能的发展道路。增强充电桩信息安全防护能力,筑牢充电桩网络安全防护墙,才能真正为新能源充电桩的发展创造一个安全、可靠的环境,使充电桩产业健康发展,为新能源汽车高质量有序发展提供助力。(本刊记者 狐若辰)