今天小編分享的汽車經驗:59%的充電網絡攻擊可能涉及數百萬台設備,歡迎閱讀。
撰文 / 錢亞光
設計 / 琚 佳
來源 / upstream.auto, www.autonews.com, www.automotiveaddicts.com
電動汽車充電基礎設施是未來交通運輸領網域不可或缺的一部分,但它同時也帶來了日益嚴峻的網絡安全挑戰。電動汽車革命的成功不僅取決于電池技術和基礎設施的擴展,還取決于确保支持電動汽車出行的系統是安全、有彈性和值得信賴的。
一家汽車網絡安全公司的高管表示,汽車制造商不願讨論他們在電動汽車充電基礎設施領網域的網絡安全努力,因為這樣做會暴露潛在的弱點,招致審查。
" 沒有哪個汽車制造商願意說,‘我們這裡有問題。’ "Upstream Security 公司負責全球和戰略項目的朱塞佩 · 塞裡奧(Giuseppe Serio)說,這立即引發了對責任和消費者信任的擔憂。
Upstream Security 是一家為汽車、智能出行和物聯網生态系統提供基于雲的網絡安全和數據管理服務的領先供應商,該公司發布的《2025 汽車與智能出行網絡安全報告(2025 Automotive & Smart Mobility Cybersecurity Report)》指出,盡管監管方面的關注度有所增加,但網絡攻擊的數量、規模和嚴重程度仍在持續增長,這讓人產生一種虛假的安全感和韌性錯覺。
軟體定義汽車和自動駕駛汽車的興起帶來了新的漏洞,導致網絡安全方面的差距不斷擴大。智能出行設備中的關鍵基礎設施,如電動汽車充電樁和車隊管理系統,擴大了攻擊面并加大了風險。
規模大,數量多成為新特點
根據 Upstream Security 的數據,2024 年針對汽車和智能移動目标的網絡安全事件激增 39%,達到 409 起。
數據顯示,在這兩個領網域,去年歐洲、美國和中國平均每月發生 34 起事故。在歐洲,德國經歷了最多的事件,為 31 起。法國緊随其後,發生了 14 起襲擊事件,而英國發生了 16 起。Upstream 的數據顯示,意大利和西班牙也發生了明顯的攻擊事件,分别發生了 12 次和 10 次。
Upstream 的報告指出,中國的戰略投資加上政府的持續支持,在智能汽車網絡安全标準的發展方面中國也處于領先地位,并計劃利用自身地位影響全球行業标準。不過,中國電動汽車產業并非沒有網絡安全風險:威脅行為者正越來越多地将勒索軟體和數據外洩攻擊瞄準中國的新能源汽車制造商和供應商,包括其車載信息娛樂系統、車輛信息管理系統以及原廠應用程式。
值得注意的是,大規模事件(每次影響數百萬輛汽車)的數量大幅增加,從 2023 年的 5% 上升至 2024 年的 19%,增長了三倍之多。這一急劇的增長凸顯出相關機構迫切需要優先考慮抵御能力,将網絡安全工作擴展到超越合規監管的範疇。
最引人注目的數據之一是針對電動汽車充電系統的攻擊事件數量有所增加。該研究顯示,針對電動汽車充電樁的攻擊占所有事件的 6%,而 2023 年這一比例為 4%。
據其分析,2024 年記錄的針對電動汽車充電站的攻擊中,近六成(59%)有可能影響數百萬台設備,包括充電樁、移動應用程式、汽車本身等。此外,Upstream 估計,近四成(37%)可能會潛在地影響數千台設備。
Upstream Security 公司認為,充電樁容易受到物理和遠程操控的影響,這樣一來,網絡犯罪分子就能夠控制其功能,并使電動汽車用戶面臨欺詐、數據洩露甚至勒索軟體攻擊的風險。
針對充電站的攻擊中,近四分之三導致了服務或業務中斷,這意味着充電樁變得無法使用。
Upstream Security 公司的營銷副總裁希拉 · 薩裡德 - 豪西雷爾(Shira Sarid-Hausirer)表示:" 我們在電動汽車的推廣、消費者信任度以及續航裡程焦慮等方面存在問題。如果黑客繼續利用充電站存在的漏洞進行攻擊,這可能會削弱消費者對電動汽車的信心,并延緩行業向電動化的過渡進程。"
電動汽車充電站還會帶來另一個網絡安全風險,即對電網構成威脅。充電站與電力基礎設施直接相連,研究人員已經證明,對這些系統的網絡攻擊可能會產生廣泛的影響。
2024 年 4 月,康考迪亞大學(Concordia University)、魁北克水電研究所(Hydro-Quebec Research Institute)和喬治梅森大學(George Mason University)的研究人員發表的一項研究表明,利用電動汽車充電對電網進行了 " 切換攻擊(switching attack)" 的模拟。他們的研究結果證實,這種攻擊可能會使電網不穩定,影響所有連接的用戶,并導致重大的經濟損失。
如何識别異常并采取行動
塞裡奧表示,汽車制造商更願意專注于他們可以直接控制的領網域的安全,如車載系統和遠程信息技術,而不是公開解決與第三方充電網絡相關的風險。
" 一旦你承認存在安全風險,你就會得到解決方案," 他說。" 但就電動汽車充電而言,汽車制造商并不完全擁有基礎設施,因此很難提供明确的保證。"
塞裡奧補充說,公開披露網絡安全漏洞可能會影響監管讨論和行業合作。他說:" 如果一家汽車制造商承認存在安全漏洞,監管機構可能會要求立即采取行動,這可能會打亂產品的時間表,并需要代價高昂的修復。"
相反,汽車制造商更喜歡在幕後工作,與充電站運營商和行業組織合作,在不引起公眾注意的情況下加強安全。
寶馬向《歐洲汽車新聞》(Automotive News Europe)提供的一份聲明稱,确保充電交易充分保護客戶支付數據是汽車制造商、電動汽車服務提供商和充電站運營商的共同責任。
聲明指出,寶馬集團的整個純電動汽車系列都達到了迄今為止最高的安全标準。
" 寶馬自己進行網絡滲透測試,其網絡安全專家試圖侵入車輛以發現漏洞," 聲明繼續說。
寶馬表示,它的 " 設計安全 " 原則意味着汽車安全從設計階段開始就在汽車的整個生命周期中持續實施——這是目前許多國家法律要求的做法。
聲明稱:" 寶馬收集其車輛的匿名實時數據,前提是客戶同意。"" 這使寶馬能夠識别異常并采取适當的行動。"
自 2019 年以來,寶馬汽車已經完全可以通過 OTA 更新,使寶馬能夠在車輛的整個生命周期中快速、适當地修復關鍵的網絡安全漏洞。
奔馳向《歐洲汽車新聞》提供的一份類似聲明指出,該公司于 2021 年獲得了德國汽車運輸局(KBA)的網絡安全管理系統認證。
該公司表示:" 我們所有的建築都符合要求,并且正在或将及時按照聯合國 R155 進行認證。"" 我們繪制潛在的網絡威脅,評估未來的產品和服務,然後設計正确的架構和技術,以減輕優先考慮的威脅。"
安全的最大敵人是什麼
塞裡奧表示,Upstream Security 的研究結果強調了加強網絡安全保護的緊迫性,特别是在電動汽車充電網絡中,并指出在市場擴張的競争中,安全仍然是一個次要問題。"
充電網絡的快速普及,創造了一個由多個利益相關者組成的分散生态系統——包括能源供應商、充電站運營商、汽車制造商和支付處理器——從而導致攻擊者有了可以利用的漏洞。
Gartner 研究副總裁佩德羅 · 帕切科(Pedro Pacheco)表示,電動汽車充電設施存在重大的網絡安全風險,其中拒絕服務攻擊是最常見的威脅。他說:" 如果充電樁失去連接,它通常會變得無法使用,這意味着司機無法完成支付或獲得充電服務。"
塞裡奧表示,充電生态系統本身的復雜性是一個主要的風險因素。" 網絡安全領網域有句話:安全的最大敵人是復雜性。"
從車輛接口到後端支付系統,收費過程中的每個組件都代表着攻擊者的潛在入口點。即使只有一個元素是弱的,它也可能危及整個系統。
" 攻擊者尋找的是最薄弱的環節," 他說。" 一個漏洞就可以讓惡意分子劫持會話,竊取支付數據,甚至破壞電網。" 塞裡奧說。
關于問責制,他指出,雖然涉及多個實體,但充電站運營商對安全負有主要責任。由于他們控制充電站的接入,充電站運營商必須确保整個系統的安全。
然而,汽車制造商也要确保車端的連接,并确保電動汽車和充電器之間的安全通信協定。他說:" 汽車制造商必須認識到,充電站引入了一種新的攻擊方式,就像遠程信息系統或互聯信息娛樂設備一樣。
制定專門網絡安全法規
為滿足電動汽車市場的增長需求而加快充電基礎設施建設的必要性意味着,一些最佳實踐以及網絡安全漏洞有時會被忽視。塞裡奧認為針對電動汽車的特定法規的推進速度比電動汽車市場的發展速度要慢。他指出:" 目前還沒有針對電動汽車充電基礎設施的全球網絡安全标準。"
英國是少數幾個将電動汽車充電作為關鍵基礎設施的國家之一,塞裡奧認為這種模式應該在全球推廣。" 我們還沒有像汽車行業那樣,在電動汽車充電安全方面看到重大頓悟時刻," 他說。" 但重大事故迫使監管機構采取行動只是時間問題。"
帕切科強調了一些法規的作用,比如歐盟的《網絡與信息安全指令 2 ( The Network and Information Security Directive》 ( NIS 2 ) ,該指令要求對關鍵基礎設施(包括電動汽車充電網絡)進行網絡安全保護。他說:" 這項規定的主要目标是确保關鍵基礎設施在面對網絡攻擊時仍能保持彈性。"
帕切科說,汽車制造商和充電站運營商通常對網絡安全采取被動的方式,而不是主動的方式。
他說:" 就像大多數風險管理問題一樣,網絡安全往往在重大事件發生後受到更多關注。"
他說,最大的挑戰是防御零日攻擊(zero-day attacks)——新的和以前未知的威脅。他表示,主動的網絡安全戰略、強有力的行業合作和網絡意識文化對于防止電動汽車充電設施遭受災難性破壞至關重要。一旦出現全新的網絡攻擊,汽車制造商、充電網絡運營商、監管機構、政策制定者必須攜手合作,強化安全措施,保護消費者和電網安全。
Upstream Security 公司的首席執行官兼聯合創始人約阿夫 · 利維(Yoav Levy)表示:" 汽車及智能出行生态系統中的網絡安全格局正變得前所未有的復雜。攻擊者已經轉向使用大規模、復雜且基于人工智能的攻擊手段,不僅針對車輛,還針對諸如電動汽車充電基礎設施、基于 API 的應用程式以及智能出行物聯網設備等相互連接的系統。這種不斷擴大的攻擊面要求我們采取變革性的、積極主動的網絡安全策略。"
該公司建議:增強加密和認證技術以保障充電樁、車輛以及網絡之間的通信安全;定期進行軟體更新和安全補丁修復,以在黑客利用漏洞之前将其關閉;強化網絡分段以防止單個受攻擊的充電樁影響整個系統;制定政府法規和行業标準以确保遵循網絡安全的最佳實踐。
>
