電動車市場正處于快速增長的階段，隨著電動車數(shù)量的增加，對電動車充電樁網(wǎng)絡(luò)安全的關(guān)注也變得越來越重要。由于電動車充電樁網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全威脅比較大，如果安全措施不到位，可能會導(dǎo)致用戶信息泄露、被黑客遠程控制等情況的發(fā)生。

據(jù)《華爾街日報》8月14日報道，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的新準(zhǔn)則草案呼吁建設(shè)超高速充電網(wǎng)絡(luò)的公司確保充電站數(shù)字支付系統(tǒng)和連接總電網(wǎng)的電動汽車設(shè)備的安全，以防范國內(nèi)和國際黑客攻擊。

NIST還建議通過加密、防火墻和殺毒軟件來保護網(wǎng)絡(luò)。草案文件稱，公司應(yīng)長期使用日志工具，以幫助進行取證分析。日志有助于公司在網(wǎng)絡(luò)攻擊后分析黑客是如何入侵的。NIST正向公眾征集意見，截止日期為8月28日，然后計劃最終確定準(zhǔn)則。

小心你的“電”會被盜刷

在2022年底上海舉辦的一場國際安全極客大賽（GeekPwn2020）上，參賽隊伍BladeTeam演示了對“無感支付”式直流充電樁的漏洞攻擊。利用電動汽車BMS與直流充電樁通信協(xié)議中的身份認(rèn)證漏洞，只需獲取受害者的車架號碼，即可盜用受害者的賬戶余額，為其他車免費充電，輕松完成“盜刷”操作。這是近年充電樁信息安全漏洞的一個典型案例示范。今年2月，一家國外知名新能源網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)多個電動汽車充電管理系統(tǒng)都受到漏洞的影響，可用于“分布式拒絕服務(wù)攻擊”和竊取駕駛員的敏感信息，包括支付卡數(shù)據(jù)、服務(wù)器憑據(jù)等。

充電樁服務(wù)商平臺對于以上類似的充電安全漏洞有著不可推卸的責(zé)任，但事實上，部分平臺甚至還存在“監(jiān)守自盜”的情況。今年5月6日，我國工信部通報了10家企業(yè)11款A(yù)PP涉及新能源汽車充換電運營相關(guān)的平臺存在侵害用戶權(quán)益的行為，被通報對象包括云能充、小象充、E充站等微信小程序、APP。據(jù)通報，這些平臺所涉問題包括“違規(guī)收集個人信息”“強制用戶使用定向推送功能”“APP強制、頻繁、過度索取權(quán)限”等。

當(dāng)前，除了充換電質(zhì)量和穩(wěn)定外，用戶數(shù)據(jù)安全已經(jīng)成為充電樁面臨的首要問題。關(guān)注大數(shù)據(jù)安全解決方案的北京創(chuàng)安恒宇調(diào)研報告指出：5G、大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等數(shù)字技術(shù)在充電樁領(lǐng)域廣泛應(yīng)用，充電樁產(chǎn)業(yè)數(shù)字化已成為大勢所趨。但與日新月異的智慧技術(shù)脫節(jié)的是，很多充電樁服務(wù)商面對網(wǎng)絡(luò)的攻擊沒有招架之力，導(dǎo)致用戶數(shù)據(jù)容易被濫用和泄露。

充電服務(wù)商面臨網(wǎng)絡(luò)安全危機

萬物互聯(lián)，為各類應(yīng)用創(chuàng)新提供了施展的舞臺，也因此，充電樁作為電動汽車的首要接口，如今更間接變成了交通信息的收集者、傳遞者與承載者，而一旦信息泄露，后果嚴(yán)重。業(yè)內(nèi)人士指出，尤其是近年即插即充、無感支付成為充電樁行業(yè)的主流發(fā)展趨勢，風(fēng)險極大。BladeTeam高級安全研究員Nicky則表示，該團隊在國際安全極客大賽上演示的漏洞屬于充電通信協(xié)議層面缺陷，采用相同技術(shù)方案的“無感支付”式直流充電樁均受其影響。此漏洞影響面大、修復(fù)難度高，對于行業(yè)健康發(fā)展具有很強的風(fēng)險提示價值。

新能源汽車充電安全性和可靠性正成為眾多用戶以及場站運營商重點關(guān)注的部分，目前很多傳統(tǒng)充電樁企業(yè)對網(wǎng)絡(luò)安全的防護遠遠不足?！爱?dāng)前的防護大多集中在新能源車輛電池安全、對充電環(huán)境主動監(jiān)測防護和充換電大數(shù)據(jù)的對比檢測上，如電池散熱、失控管理、充電樁‘快充+過充’、電芯質(zhì)量等問題?！敝袊浖袠I(yè)協(xié)會智能網(wǎng)聯(lián)汽車行業(yè)分會專家告訴記者，當(dāng)前智能充電樁系統(tǒng)現(xiàn)有網(wǎng)絡(luò)邊緣尚未建立起完善的本地安全防護能力，無法提供對電樁終端的安全防護。如由于電樁缺少集中管理平臺，無法驗證惡意訪問來源并快速定位被攻擊智能充電樁，所以無法即時監(jiān)控和評估對平臺和用戶信息資產(chǎn)的威脅狀態(tài)，并進行分析。

充電樁行業(yè)里，很早就關(guān)注并著手采用加密技術(shù)、數(shù)據(jù)隔離技術(shù)用以確保用戶信息安全的Tellus Power集團表示：數(shù)據(jù)泄露事件暴露出了在很多智能產(chǎn)品大規(guī)模投放市場的同時，并未同步建立與之匹配的數(shù)據(jù)信息安全能力，而這中間的漏洞與縫隙，正變成黑客的樂土。

充電樁不僅要“智能”還需會“防護”

作為大基建，充電站正飛速發(fā)展，業(yè)內(nèi)人士指出，目前充電站需要統(tǒng)籌管理。北京創(chuàng)安恒宇相關(guān)研究人員告訴記者，充電樁或充電站存在點多、面廣、分散的特點，其端、管、云均缺少有效的安全防護機制，每個節(jié)點都容易遭到入侵，如充電樁自身的系統(tǒng)安全，與本地充電站的數(shù)據(jù)傳輸、充電站與運營平臺的數(shù)據(jù)傳輸，運營平臺的平穩(wěn)運營，用戶結(jié)算安全等多個領(lǐng)域均存在安全隱患。

中國信息協(xié)會信息安全專業(yè)委員會副主任李京春指出，嚴(yán)格保護用戶隱私數(shù)據(jù)，平衡數(shù)據(jù)流通與泄露風(fēng)險，才能使智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康快速發(fā)展。當(dāng)前，充電運營商希望通過收集更多客戶信息獲取更多客源、更多利潤在情理之中，但若被判定為違規(guī)收集客戶個人信息、觸碰了法律，將可能得不償失。

國家智能網(wǎng)聯(lián)汽車創(chuàng)新中心信息安全部部長羅承剛指出，數(shù)據(jù)安全需從監(jiān)管、標(biāo)準(zhǔn)、管理、技術(shù)方面共同推進。

對于充電樁信息安全防御能力問題，有業(yè)內(nèi)專家指出，保障用戶數(shù)據(jù)的安全，需采取多項措施。首先，在設(shè)計產(chǎn)品之初，就要充分考慮數(shù)據(jù)安全風(fēng)險，并采用加密技術(shù)來保護用戶的隱私，如對充電樁的信息讀取過程、數(shù)據(jù)傳輸過程的加密。其次，建議定期進行數(shù)據(jù)備份和恢復(fù)演練，確保數(shù)據(jù)不會丟失或被破壞。最后，與第三方安全公司合作，對充電樁進行定期安全檢查，確保系統(tǒng)的穩(wěn)定性和可靠性。“如此一來，不僅可以百分之百地預(yù)防所有已知的風(fēng)險，同樣可以抵擋絕大多數(shù)的未知風(fēng)險”。Tellus Power集團VP Srikanth表示。

頻發(fā)的信息網(wǎng)絡(luò)泄露風(fēng)險，也開始讓企業(yè)意識到需升級充換電領(lǐng)域的安全防護領(lǐng)域。如吉利旗下的極氪能源ZEEKR Power電動汽車交流充電樁，近期宣布成為首個通過中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心安全評估，獲得“IT產(chǎn)品信息安全認(rèn)證證書”的充電樁產(chǎn)品。據(jù)企業(yè)介紹，除了常見的短路、漏電、過壓、聯(lián)機等保護多重防護設(shè)計外，最重要的是，該充電樁具備完善的信息安全技術(shù)保障，能夠及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。

萬物互聯(lián)時代，汽車智能化、電氣化發(fā)展帶來了更多機遇，與此同時，網(wǎng)絡(luò)危機并存。可以說，加強數(shù)據(jù)安全體系的建設(shè)，才能保障中國汽車產(chǎn)業(yè)行駛在“安全賽道”。

可以見到，隨著新能源汽車的不斷發(fā)展，我國充電設(shè)施行業(yè)的發(fā)展從初期的粗放型管理，正循序進入合理建設(shè)、優(yōu)化運營、智慧賦能的道路。在我國通往汽車強國的道路上，充電運營平臺的安全防護及運營質(zhì)量，無疑也是推動新能源汽車有序發(fā)展的重要支撐點。（廣州日報等）