今天小编分享的汽车经验:59%的充电网络攻击可能涉及数百万台设备,欢迎阅读。
撰文 / 钱亚光
设计 / 琚 佳
来源 / upstream.auto, www.autonews.com, www.automotiveaddicts.com
电动汽车充电基础设施是未来交通运输领網域不可或缺的一部分,但它同时也带来了日益严峻的网络安全挑战。电动汽车革命的成功不仅取决于电池技术和基础设施的扩展,还取决于确保支持电动汽车出行的系统是安全、有弹性和值得信赖的。
一家汽车网络安全公司的高管表示,汽车制造商不愿讨论他们在电动汽车充电基础设施领網域的网络安全努力,因为这样做会暴露潜在的弱点,招致审查。
" 没有哪个汽车制造商愿意说,‘我们这里有问题。’ "Upstream Security 公司负责全球和战略项目的朱塞佩 · 塞里奥(Giuseppe Serio)说,这立即引发了对责任和消费者信任的担忧。
Upstream Security 是一家为汽车、智能出行和物联网生态系统提供基于云的网络安全和数据管理服务的领先供应商,该公司发布的《2025 汽车与智能出行网络安全报告(2025 Automotive & Smart Mobility Cybersecurity Report)》指出,尽管监管方面的关注度有所增加,但网络攻击的数量、规模和严重程度仍在持续增长,这让人产生一种虚假的安全感和韧性错觉。
軟體定义汽车和自动驾驶汽车的兴起带来了新的漏洞,导致网络安全方面的差距不断扩大。智能出行设备中的关键基础设施,如电动汽车充电桩和车队管理系统,扩大了攻击面并加大了风险。
规模大,数量多成为新特点
根据 Upstream Security 的数据,2024 年针对汽车和智能移动目标的网络安全事件激增 39%,达到 409 起。
数据显示,在这两个领網域,去年欧洲、美国和中国平均每月发生 34 起事故。在欧洲,德国经历了最多的事件,为 31 起。法国紧随其后,发生了 14 起袭击事件,而英国发生了 16 起。Upstream 的数据显示,意大利和西班牙也发生了明显的攻击事件,分别发生了 12 次和 10 次。
Upstream 的报告指出,中国的战略投资加上政府的持续支持,在智能汽车网络安全标准的发展方面中国也处于领先地位,并计划利用自身地位影响全球行业标准。不过,中国电动汽车产业并非没有网络安全风险:威胁行为者正越来越多地将勒索軟體和数据外泄攻击瞄准中国的新能源汽车制造商和供应商,包括其车载信息娱乐系统、车辆信息管理系统以及原厂应用程式。
值得注意的是,大规模事件(每次影响数百万辆汽车)的数量大幅增加,从 2023 年的 5% 上升至 2024 年的 19%,增长了三倍之多。这一急剧的增长凸显出相关机构迫切需要优先考虑抵御能力,将网络安全工作扩展到超越合规监管的范畴。
最引人注目的数据之一是针对电动汽车充电系统的攻击事件数量有所增加。该研究显示,针对电动汽车充电桩的攻击占所有事件的 6%,而 2023 年这一比例为 4%。
据其分析,2024 年记录的针对电动汽车充电站的攻击中,近六成(59%)有可能影响数百万台设备,包括充电桩、移动应用程式、汽车本身等。此外,Upstream 估计,近四成(37%)可能会潜在地影响数千台设备。
Upstream Security 公司认为,充电桩容易受到物理和远程操控的影响,这样一来,网络犯罪分子就能够控制其功能,并使电动汽车用户面临欺诈、数据泄露甚至勒索軟體攻击的风险。
针对充电站的攻击中,近四分之三导致了服务或业务中断,这意味着充电桩变得无法使用。
Upstream Security 公司的营销副总裁希拉 · 萨里德 - 豪西雷尔(Shira Sarid-Hausirer)表示:" 我们在电动汽车的推广、消费者信任度以及续航里程焦虑等方面存在问题。如果黑客继续利用充电站存在的漏洞进行攻击,这可能会削弱消费者对电动汽车的信心,并延缓行业向电动化的过渡进程。"
电动汽车充电站还会带来另一个网络安全风险,即对电网构成威胁。充电站与电力基础设施直接相连,研究人员已经证明,对这些系统的网络攻击可能会产生广泛的影响。
2024 年 4 月,康考迪亚大学(Concordia University)、魁北克水电研究所(Hydro-Quebec Research Institute)和乔治梅森大学(George Mason University)的研究人员发表的一项研究表明,利用电动汽车充电对电网进行了 " 切换攻击(switching attack)" 的模拟。他们的研究结果证实,这种攻击可能会使电网不稳定,影响所有连接的用户,并导致重大的经济损失。
如何识别异常并采取行动
塞里奥表示,汽车制造商更愿意专注于他们可以直接控制的领網域的安全,如车载系统和远程信息技术,而不是公开解决与第三方充电网络相关的风险。
" 一旦你承认存在安全风险,你就会得到解决方案," 他说。" 但就电动汽车充电而言,汽车制造商并不完全拥有基础设施,因此很难提供明确的保证。"
塞里奥补充说,公开披露网络安全漏洞可能会影响监管讨论和行业合作。他说:" 如果一家汽车制造商承认存在安全漏洞,监管机构可能会要求立即采取行动,这可能会打乱产品的时间表,并需要代价高昂的修复。"
相反,汽车制造商更喜欢在幕后工作,与充电站运营商和行业组织合作,在不引起公众注意的情况下加强安全。
宝马向《欧洲汽车新闻》(Automotive News Europe)提供的一份声明称,确保充电交易充分保护客户支付数据是汽车制造商、电动汽车服务提供商和充电站运营商的共同责任。
声明指出,宝马集团的整个纯电动汽车系列都达到了迄今为止最高的安全标准。
" 宝马自己进行网络渗透测试,其网络安全专家试图侵入车辆以发现漏洞," 声明继续说。
宝马表示,它的 " 设计安全 " 原则意味着汽车安全从设计阶段开始就在汽车的整个生命周期中持续实施——这是目前许多国家法律要求的做法。
声明称:" 宝马收集其车辆的匿名实时数据,前提是客户同意。"" 这使宝马能够识别异常并采取适当的行动。"
自 2019 年以来,宝马汽车已经完全可以通过 OTA 更新,使宝马能够在车辆的整个生命周期中快速、适当地修复关键的网络安全漏洞。
奔驰向《欧洲汽车新闻》提供的一份类似声明指出,该公司于 2021 年获得了德国汽车运输局(KBA)的网络安全管理系统认证。
该公司表示:" 我们所有的建筑都符合要求,并且正在或将及时按照联合国 R155 进行认证。"" 我们绘制潜在的网络威胁,评估未来的产品和服务,然后设计正确的架构和技术,以减轻优先考虑的威胁。"
安全的最大敌人是什么
塞里奥表示,Upstream Security 的研究结果强调了加强网络安全保护的紧迫性,特别是在电动汽车充电网络中,并指出在市场扩张的竞争中,安全仍然是一个次要问题。"
充电网络的快速普及,创造了一个由多个利益相关者组成的分散生态系统——包括能源供应商、充电站运营商、汽车制造商和支付处理器——从而导致攻击者有了可以利用的漏洞。
Gartner 研究副总裁佩德罗 · 帕切科(Pedro Pacheco)表示,电动汽车充电设施存在重大的网络安全风险,其中拒绝服务攻击是最常见的威胁。他说:" 如果充电桩失去连接,它通常会变得无法使用,这意味着司机无法完成支付或获得充电服务。"
塞里奥表示,充电生态系统本身的复杂性是一个主要的风险因素。" 网络安全领網域有句话:安全的最大敌人是复杂性。"
从车辆接口到后端支付系统,收费过程中的每个组件都代表着攻击者的潜在入口点。即使只有一个元素是弱的,它也可能危及整个系统。
" 攻击者寻找的是最薄弱的环节," 他说。" 一个漏洞就可以让恶意分子劫持会话,窃取支付数据,甚至破坏电网。" 塞里奥说。
关于问责制,他指出,虽然涉及多个实体,但充电站运营商对安全负有主要责任。由于他们控制充电站的接入,充电站运营商必须确保整个系统的安全。
然而,汽车制造商也要确保车端的连接,并确保电动汽车和充电器之间的安全通信協定。他说:" 汽车制造商必须认识到,充电站引入了一种新的攻击方式,就像远程信息系统或互联信息娱乐设备一样。
制定专门网络安全法规
为满足电动汽车市场的增长需求而加快充电基础设施建设的必要性意味着,一些最佳实践以及网络安全漏洞有时会被忽视。塞里奥认为针对电动汽车的特定法规的推进速度比电动汽车市场的发展速度要慢。他指出:" 目前还没有针对电动汽车充电基础设施的全球网络安全标准。"
英国是少数几个将电动汽车充电作为关键基础设施的国家之一,塞里奥认为这种模式应该在全球推广。" 我们还没有像汽车行业那样,在电动汽车充电安全方面看到重大顿悟时刻," 他说。" 但重大事故迫使监管机构采取行动只是时间问题。"
帕切科强调了一些法规的作用,比如欧盟的《网络与信息安全指令 2 ( The Network and Information Security Directive》 ( NIS 2 ) ,该指令要求对关键基础设施(包括电动汽车充电网络)进行网络安全保护。他说:" 这项规定的主要目标是确保关键基础设施在面对网络攻击时仍能保持弹性。"
帕切科说,汽车制造商和充电站运营商通常对网络安全采取被动的方式,而不是主动的方式。
他说:" 就像大多数风险管理问题一样,网络安全往往在重大事件发生后受到更多关注。"
他说,最大的挑战是防御零日攻击(zero-day attacks)——新的和以前未知的威胁。他表示,主动的网络安全战略、强有力的行业合作和网络意识文化对于防止电动汽车充电设施遭受灾难性破坏至关重要。一旦出现全新的网络攻击,汽车制造商、充电网络运营商、监管机构、政策制定者必须携手合作,强化安全措施,保护消费者和电网安全。
Upstream Security 公司的首席执行官兼联合创始人约阿夫 · 利维(Yoav Levy)表示:" 汽车及智能出行生态系统中的网络安全格局正变得前所未有的复杂。攻击者已经转向使用大规模、复杂且基于人工智能的攻击手段,不仅针对车辆,还针对诸如电动汽车充电基础设施、基于 API 的应用程式以及智能出行物联网设备等相互连接的系统。这种不断扩大的攻击面要求我们采取变革性的、积极主动的网络安全策略。"
该公司建议:增强加密和认证技术以保障充电桩、车辆以及网络之间的通信安全;定期进行軟體更新和安全补丁修复,以在黑客利用漏洞之前将其关闭;强化网络分段以防止单个受攻击的充电桩影响整个系统;制定政府法规和行业标准以确保遵循网络安全的最佳实践。
>
