來源：廣州日報 | 作者 鄧莉

當你對着車機發出“Hi”指令，它可以非常快捷地引導你前往某合作充電樁充電，這個操作過程正成爲很多新能源汽車車主的習慣。不過，如此智慧的智能網聯，也爲充電樁帶來了新的安全漏洞。記者留意到，近一年來，不僅國外研究機構對充電樁數據安全發出了警示；在國內，上週，工信部也罕見地通報了部分充電樁平臺存在的信息被濫用等問題。

近年，隨着新能源汽車滲透率不斷提高，充電樁的需求也不斷增加，隨之而來充電樁的網絡安全問題日益凸顯，正引發業內高度關注。

小心你的“電”會被盜刷

在2022年底上海舉辦的一場國際安全極客大賽（GeekPwn2020）上，參賽隊伍BladeTeam演示了對“無感支付”式直流充電樁的漏洞攻擊。利用電動汽車BMS與直流充電樁通信協議中的身份認證漏洞，只需獲取受害者的車架號碼，即可盜用受害者的賬戶餘額，爲其他車免費充電，輕鬆完成“盜刷”操作。這是近年充電樁信息安全漏洞的一個典型案例示範。今年2月，一家國外知名新能源網絡安全公司的研究人員發現多個電動汽車充電管理系統都受到漏洞的影響，可用於“分佈式拒絕服務攻擊”和竊取駕駛員的敏感信息，包括支付卡數據、服務器憑據等。

充電樁服務商平臺對於以上類似的充電安全漏洞有着不可推卸的責任，但事實上，部分平臺甚至還存在“監守自盜”的情況。今年5月6日，我國工信部通報了10家企業11款APP涉及新能源汽車充換電運營相關的平臺存在侵害用戶權益的行爲，被通報對象包括雲能充、小象充、E充站等微信小程序、APP。據通報，這些平臺所涉問題包括“違規收集個人信息”“強制用戶使用定向推送功能”“APP強制、頻繁、過度索取權限”等。

當前，除了充換電質量和穩定外，用戶數據安全已經成爲充電樁面臨的首要問題。關注大數據安全解決方案的北京創安恆宇調研報告指出：5G、大數據、雲計算、區塊鏈、人工智能等數字技術在充電樁領域廣泛應用，充電樁產業數字化已成爲大勢所趨。但與日新月異的智慧技術脫節的是，很多充電樁服務商面對網絡的攻擊沒有招架之力，導致用戶數據容易被濫用和泄露。

充電服務商面臨網絡安全危機

萬物互聯，爲各類應用創新提供了施展的舞臺，也因此，充電樁作爲電動汽車的首要接口，如今更間接變成了交通信息的收集者、傳遞者與承載者，而一旦信息泄露，後果嚴重。業內人士指出，尤其是近年即插即充、無感支付成爲充電樁行業的主流發展趨勢，風險極大。BladeTeam高級安全研究員Nicky則表示，該團隊在國際安全極客大賽上演示的漏洞屬於充電通信協議層面缺陷，採用相同技術方案的“無感支付”式直流充電樁均受其影響。此漏洞影響面大、修復難度高，對於行業健康發展具有很強的風險提示價值。

新能源汽車充電安全性和可靠性正成爲衆多用戶以及場站運營商重點關注的部分，目前很多傳統充電樁企業對網絡安全的防護遠遠不足。“當前的防護大多集中在新能源車輛電池安全、對充電環境主動監測防護和充換電大數據的對比檢測上，如電池散熱、失控管理、充電樁‘快充+過充’、電芯質量等問題。”中國軟件行業協會智能網聯汽車行業分會專家告訴記者，當前智能充電樁系統現有網絡邊緣尚未建立起完善的本地安全防護能力，無法提供對電樁終端的安全防護。如由於電樁缺少集中管理平臺，無法驗證惡意訪問來源並快速定位被攻擊智能充電樁，所以無法即時監控和評估對平臺和用戶信息資產的威脅狀態，並進行分析。

充電樁行業裏，很早就關注並着手採用加密技術、數據隔離技術用以確保用戶信息安全的TellusPower集團表示：數據泄露事件暴露出了在很多智能產品大規模投放市場的同時，並未同步建立與之匹配的數據信息安全能力，而這中間的漏洞與縫隙，正變成黑客的樂土。

充電樁不僅要“智能”還需會“防護”

作爲大基建，充電站正飛速發展，業內人士指出，目前充電站需要統籌管理。北京創安恆宇相關研究人員告訴記者，充電樁或充電站存在點多、面廣、分散的特點，其端、管、雲均缺少有效的安全防護機制，每個節點都容易遭到入侵，如充電樁自身的系統安全，與本地充電站的數據傳輸、充電站與運營平臺的數據傳輸，運營平臺的平穩運營，用戶結算安全等多個領域均存在安全隱患。

中國信息協會信息安全專業委員會副主任李京春指出，嚴格保護用戶隱私數據，平衡數據流通與泄露風險，才能使智能網聯汽車產業健康快速發展。當前，充電運營商希望通過收集更多客戶信息獲取更多客源、更多利潤在情理之中，但若被判定爲違規收集客戶個人信息、觸碰了法律，將可能得不償失。

國家智能網聯汽車創新中心信息安全部部長羅承剛指出，數據安全需從監管、標準、管理、技術方面共同推進。

對於充電樁信息安全防禦能力問題，有業內專家指出，保障用戶數據的安全，需採取多項措施。首先，在設計產品之初，就要充分考慮數據安全風險，並採用加密技術來保護用戶的隱私，如對充電樁的信息讀取過程、數據傳輸過程的加密。其次，建議定期進行數據備份和恢復演練，確保數據不會丟失或被破壞。最後，與第三方安全公司合作，對充電樁進行定期安全檢查，確保系統的穩定性和可靠性。“如此一來，不僅可以百分之百地預防所有已知的風險，同樣可以抵擋絕大多數的未知風險”。TellusPower集團VPSrikanth表示。

頻發的信息網絡泄露風險，也開始讓企業意識到需升級充換電領域的安全防護領域。如吉利旗下的極氪能源ZEEKRPower電動汽車交流充電樁，近期宣佈成爲首個通過中國網絡安全審查技術與認證中心安全評估，獲得“IT產品信息安全認證證書”的充電樁產品。據企業介紹，除了常見的短路、漏電、過壓、聯機等保護多重防護設計外，最重要的是，該充電樁具備完善的信息安全技術保障，能夠及時發現、報告並處理網絡攻擊或異常行爲。

華爲近年來也在發力充電樁產品，相關負責人告訴記者，充電樁是一個智能化產品，技術迭代要求高，同時要求具備能源互聯和數據互聯的屬性。介於在ICT領域的綜合能力，華爲構建了“雲管邊端”的架構體系和產品解決方案，從芯片、操作系統、數據庫、到端到端可信安全技術，且都是自主可控，有效實現能源智能化，和數據信息安全防護。此外，東風、廣汽等相關車企針對智能汽車的網聯繫統等採用雙安全組件，支持功能安全最高的ASILD級，智能網聯雲平臺採用國密級別數據安全保護算法，個人敏感數據脫敏處理，保證用戶數據安全。

【觀察】

智能汽車發展需進入“安全賽道”

萬物互聯時代，汽車智能化、電氣化發展帶來了更多機遇，與此同時，網絡危機並存。可以說，加強數據安全體系的建設，才能保障中國汽車產業行駛在“安全賽道”。

可以見到，隨着新能源汽車的不斷發展，我國充電設施行業的發展從初期的粗放型管理，正循序進入合理建設、優化運營、智慧賦能的道路。在我國通往汽車強國的道路上，充電運營平臺的安全防護及運營質量，無疑也是推動新能源汽車有序發展的重要支撐點。