當(dāng)你對(duì)著車機(jī)發(fā)出“Hi”指令，它可以非�？旖莸匾龑�(dǎo)你前往某合作充電樁充電，這個(gè)操作過(guò)程正成為很多新能源汽車車主的習(xí)慣。不過(guò)，如此智慧的智能網(wǎng)聯(lián)，也為充電樁帶來(lái)了新的安全漏洞。記者留意到，近一年來(lái)，不僅國(guó)外研究機(jī)構(gòu)對(duì)充電樁數(shù)據(jù)安全發(fā)出了警示；在國(guó)內(nèi)，上周，工信部也罕見(jiàn)地通報(bào)了部分充電樁平臺(tái)存在的信息被濫用等問(wèn)題。

　　近年，隨著新能源汽車滲透率不斷提高，充電樁的需求也不斷增加，隨之而來(lái)充電樁的網(wǎng)絡(luò)安全問(wèn)題日益凸顯，正引發(fā)業(yè)內(nèi)高度關(guān)注。

　　文/圖 廣州日?qǐng)?bào)全媒體記者 鄧?yán)?/p>

　　小心你的“電”會(huì)被盜刷

　　在2022年底上海舉辦的一場(chǎng)國(guó)際安全極客大賽(GeekPwn2020)上，參賽隊(duì)伍BladeTeam演示了對(duì)“無(wú)感支付”式直流充電樁的漏洞攻擊。利用電動(dòng)汽車BMS與直流充電樁通信協(xié)議中的身份認(rèn)證漏洞，只需獲取受害者的車架號(hào)碼，即可盜用受害者的賬戶余額，為其他車免費(fèi)充電，輕松完成“盜刷”操作。這是近年充電樁信息安全漏洞的一個(gè)典型案例示范。今年2月，一家國(guó)外知名新能源網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)多個(gè)電動(dòng)汽車充電管理系統(tǒng)都受到漏洞的影響，可用于“分布式拒絕服務(wù)攻擊”和竊取駕駛員的敏感信息，包括支付卡數(shù)據(jù)、服務(wù)器憑據(jù)等。

　　充電樁服務(wù)商平臺(tái)對(duì)于以上類似的充電安全漏洞有著不可推卸的責(zé)任，但事實(shí)上，部分平臺(tái)甚至還存在“監(jiān)守自盜”的情況。今年5月6日，我國(guó)工信部通報(bào)了10家企業(yè)11款A(yù)PP涉及新能源汽車充換電運(yùn)營(yíng)相關(guān)的平臺(tái)存在侵害用戶權(quán)益的行為，被通報(bào)對(duì)象包括云能充、小象充、E充站等微信小程序、APP。據(jù)通報(bào)，這些平臺(tái)所涉問(wèn)題包括“違規(guī)收集個(gè)人信息”“強(qiáng)制用戶使用定向推送功能”“APP強(qiáng)制、頻繁、過(guò)度索取權(quán)限”等。

　　當(dāng)前，除了充換電質(zhì)量和穩(wěn)定外，用戶數(shù)據(jù)安全已經(jīng)成為充電樁面臨的首要問(wèn)題。關(guān)注大數(shù)據(jù)安全解決方案的北京創(chuàng)安恒宇調(diào)研報(bào)告指出：5G、大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈、人工智能等數(shù)字技術(shù)在充電樁領(lǐng)域廣泛應(yīng)用，充電樁產(chǎn)業(yè)數(shù)字化已成為大勢(shì)所趨。但與日新月異的智慧技術(shù)脫節(jié)的是，很多充電樁服務(wù)商面對(duì)網(wǎng)絡(luò)的攻擊沒(méi)有招架之力，導(dǎo)致用戶數(shù)據(jù)容易被濫用和泄露。

　　充電服務(wù)商面臨網(wǎng)絡(luò)安全危機(jī)

　　萬(wàn)物互聯(lián)，為各類應(yīng)用創(chuàng)新提供了施展的舞臺(tái)，也因此，充電樁作為電動(dòng)汽車的首要接口，如今更間接變成了交通信息的收集者、傳遞者與承載者，而一旦信息泄露，后果嚴(yán)重。業(yè)內(nèi)人士指出，尤其是近年即插即充、無(wú)感支付成為充電樁行業(yè)的主流發(fā)展趨勢(shì)，風(fēng)險(xiǎn)極大。BladeTeam高級(jí)安全研究員Nicky則表示，該團(tuán)隊(duì)在國(guó)際安全極客大賽上演示的漏洞屬于充電通信協(xié)議層面缺陷，采用相同技術(shù)方案的“無(wú)感支付”式直流充電樁均受其影響。此漏洞影響面大、修復(fù)難度高，對(duì)于行業(yè)健康發(fā)展具有很強(qiáng)的風(fēng)險(xiǎn)提示價(jià)值。

　　新能源汽車充電安全性和可靠性正成為眾多用戶以及場(chǎng)站運(yùn)營(yíng)商重點(diǎn)關(guān)注的部分，目前很多傳統(tǒng)充電樁企業(yè)對(duì)網(wǎng)絡(luò)安全的防護(hù)遠(yuǎn)遠(yuǎn)不足�！爱�(dāng)前的防護(hù)大多集中在新能源車輛電池安全、對(duì)充電環(huán)境主動(dòng)監(jiān)測(cè)防護(hù)和充換電大數(shù)據(jù)的對(duì)比檢測(cè)上，如電池散熱、失控管理、充電樁‘快充+過(guò)充’、電芯質(zhì)量等問(wèn)題。”中國(guó)軟件行業(yè)協(xié)會(huì)智能網(wǎng)聯(lián)汽車行業(yè)分會(huì)專家告訴記者，當(dāng)前智能充電樁系統(tǒng)現(xiàn)有網(wǎng)絡(luò)邊緣尚未建立起完善的本地安全防護(hù)能力，無(wú)法提供對(duì)電樁終端的安全防護(hù)。如由于電樁缺少集中管理平臺(tái)，無(wú)法驗(yàn)證惡意訪問(wèn)來(lái)源并快速定位被攻擊智能充電樁，所以無(wú)法即時(shí)監(jiān)控和評(píng)估對(duì)平臺(tái)和用戶信息資產(chǎn)的威脅狀態(tài)，并進(jìn)行分析。

　　充電樁行業(yè)里，很早就關(guān)注并著手采用加密技術(shù)、數(shù)據(jù)隔離技術(shù)用以確保用戶信息安全的Tellus Power集團(tuán)表示：數(shù)據(jù)泄露事件暴露出了在很多智能產(chǎn)品大規(guī)模投放市場(chǎng)的同時(shí)，并未同步建立與之匹配的數(shù)據(jù)信息安全能力，而這中間的漏洞與縫隙，正變成黑客的樂(lè)土。

　　充電樁不僅要“智能”還需會(huì)“防護(hù)”

　　作為大基建，充電站正飛速發(fā)展，業(yè)內(nèi)人士指出，目前充電站需要統(tǒng)籌管理。北京創(chuàng)安恒宇相關(guān)研究人員告訴記者，充電樁或充電站存在點(diǎn)多、面廣、分散的特點(diǎn)，其端、管、云均缺少有效的安全防護(hù)機(jī)制，每個(gè)節(jié)點(diǎn)都容易遭到入侵，如充電樁自身的系統(tǒng)安全，與本地充電站的數(shù)據(jù)傳輸、充電站與運(yùn)營(yíng)平臺(tái)的數(shù)據(jù)傳輸，運(yùn)營(yíng)平臺(tái)的平穩(wěn)運(yùn)營(yíng)，用戶結(jié)算安全等多個(gè)領(lǐng)域均存在安全隱患。

　　中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)副主任李京春指出，嚴(yán)格保護(hù)用戶隱私數(shù)據(jù)，平衡數(shù)據(jù)流通與泄露風(fēng)險(xiǎn)，才能使智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康快速發(fā)展。當(dāng)前，充電運(yùn)營(yíng)商希望通過(guò)收集更多客戶信息獲取更多客源、更多利潤(rùn)在情理之中，但若被判定為違規(guī)收集客戶個(gè)人信息、觸碰了法律，將可能得不償失。

　　國(guó)家智能網(wǎng)聯(lián)汽車創(chuàng)新中心信息安全部部長(zhǎng)羅承剛指出，數(shù)據(jù)安全需從監(jiān)管、標(biāo)準(zhǔn)、管理、技術(shù)方面共同推進(jìn)。

　　對(duì)于充電樁信息安全防御能力問(wèn)題，有業(yè)內(nèi)專家指出，保障用戶數(shù)據(jù)的安全，需采取多項(xiàng)措施。首先，在設(shè)計(jì)產(chǎn)品之初，就要充分考慮數(shù)據(jù)安全風(fēng)險(xiǎn)，并采用加密技術(shù)來(lái)保護(hù)用戶的隱私，如對(duì)充電樁的信息讀取過(guò)程、數(shù)據(jù)傳輸過(guò)程的加密。其次，建議定期進(jìn)行數(shù)據(jù)備份和恢復(fù)演練，確保數(shù)據(jù)不會(huì)丟失或被破壞。最后，與第三方安全公司合作，對(duì)充電樁進(jìn)行定期安全檢查，確保系統(tǒng)的穩(wěn)定性和可靠性�！叭绱艘粊�(lái)，不僅可以百分之百地預(yù)防所有已知的風(fēng)險(xiǎn)，同樣可以抵擋絕大多數(shù)的未知風(fēng)險(xiǎn)”。Tellus Power集團(tuán)VP Srikanth表示。

　　頻發(fā)的信息網(wǎng)絡(luò)泄露風(fēng)險(xiǎn)，也開(kāi)始讓企業(yè)意識(shí)到需升級(jí)充換電領(lǐng)域的安全防護(hù)領(lǐng)域。如吉利旗下的極氪能源ZEEKR Power電動(dòng)汽車交流充電樁，近期宣布成為首個(gè)通過(guò)中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心安全評(píng)估，獲得“IT產(chǎn)品信息安全認(rèn)證證書”的充電樁產(chǎn)品。據(jù)企業(yè)介紹，除了常見(jiàn)的短路、漏電、過(guò)壓、聯(lián)機(jī)等保護(hù)多重防護(hù)設(shè)計(jì)外，最重要的是，該充電樁具備完善的信息安全技術(shù)保障，能夠及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。

　　華為近年來(lái)也在發(fā)力充電樁產(chǎn)品，相關(guān)負(fù)責(zé)人告訴記者，充電樁是一個(gè)智能化產(chǎn)品，技術(shù)迭代要求高，同時(shí)要求具備能源互聯(lián)和數(shù)據(jù)互聯(lián)的屬性。介于在ICT領(lǐng)域的綜合能力，華為構(gòu)建了“云管邊端”的架構(gòu)體系和產(chǎn)品解決方案，從芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、到端到端可信安全技術(shù)，且都是自主可控，有效實(shí)現(xiàn)能源智能化，和數(shù)據(jù)信息安全防護(hù)�！　〈送�，東風(fēng)、廣汽等相關(guān)車企針對(duì)智能汽車的網(wǎng)聯(lián)系統(tǒng)等采用雙安全組件，支持功能安全最高的ASIL D級(jí)，智能網(wǎng)聯(lián)云平臺(tái)采用國(guó)密級(jí)別數(shù)據(jù)安全保護(hù)算法，個(gè)人敏感數(shù)據(jù)脫敏處理，保證用戶數(shù)據(jù)安全。

　　【觀察】

　　智能汽車發(fā)展需進(jìn)入“安全賽道”

　　萬(wàn)物互聯(lián)時(shí)代，汽車智能化、電氣化發(fā)展帶來(lái)了更多機(jī)遇，與此同時(shí)，網(wǎng)絡(luò)危機(jī)并存�？梢哉f(shuō)，加強(qiáng)數(shù)據(jù)安全體系的建設(shè)，才能保障中國(guó)汽車產(chǎn)業(yè)行駛在“安全賽道”。

　　可以見(jiàn)到，隨著新能源汽車的不斷發(fā)展，我國(guó)充電設(shè)施行業(yè)的發(fā)展從初期的粗放型管理，正循序進(jìn)入合理建設(shè)、優(yōu)化運(yùn)營(yíng)、智慧賦能的道路。在我國(guó)通往汽車強(qiáng)國(guó)的道路上，充電運(yùn)營(yíng)平臺(tái)的安全防護(hù)及運(yùn)營(yíng)質(zhì)量，無(wú)疑也是推動(dòng)新能源汽車有序發(fā)展的重要支撐點(diǎn)。