充电桩成为网络攻击新目标 汽车网络安全管理亟待规范

随着近年来我国智能网联汽车产业爆发增长，电动汽车（EV）充电基础设施需求逐步增长，但随之而来的远程控制、数据窃取等安全问题也日益显现。例如，2月，以色列网络安全公司Saiflow经过调查发现，开放充电点协议（OCPP）中存在两个漏洞，可被用于进行分布式拒绝服务（DDoS）攻击、窃取敏感信息等。在俄乌冲突爆发时，亲乌黑客就曾通过攻击莫斯科附近的充电桩，致使系统瘫痪。

根据公安部数据显示，截至2022年底，全国新能源汽车保有量达1310万辆，占汽车总量的4.10%，充电基础设施数量达到520万台，同比增长近100%。虽然，我国已建成世界上数量最多、分布最广的充电基础设施网络，但目前国内充电桩的增长速度，要明显低于新能源汽车的配套增长速度。

尽管充电基础设施的全面建立已是大势所趋，但考虑到系统间的连通性和潜在的破坏性，部分网络安全专家担心网络安全隐患将进一步扩大。工业网络安全提供商Dragos总监Phil Tonkin表示，电动汽车充电器可以被看作是一种物联网（IoT）技术，与普通低功耗物联网设备不同，电动车充电设施承担大量电力负载，其聚合风险极大，需谨慎实施安全策略。

在一定层面上来看，电动汽车充电基础设施的架构是一次技术集合，涵盖了云计算、物联网、OT等多种技术。充电设备通过移动应用程序实现互联，具备与其他物联网设备相同的风险。同时，与其他运营技术(OT)一样，充电设备也是交通网络的重要组成部分。并且，由于充电站需要连接到公共网络，因此还依赖于加密技术。而中央平台作为多种技术的连接中心，供应商必须采取更加严格的防御措施。

同时，根据国家能源局数据显示，2022年公共充电基础设施累计达到180万台左右，私人充电基础设施累计超过340万台。但就安全性而言，由于部分消费者缺乏相关的安全意识、应对威胁的能力较低，私人充电基础设施的安全风险相对更大。因此，提供充电桩设备的供应商和提供通信服务的服务商应该承担相应的安全责任，保障系统网络安全。

政府应出台相关政策为公司提供标准规范支持，以防止网络安全漏洞。虽然近年来，相关部门相继出台了《汽车数据安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》等管理文件，但目前仍无法覆盖到研产供销全业务领域。

两会期间，小米集团创始人、董事长兼CEO雷军就国内汽车数据安全现状提出建议，应由主管部门牵头，加快制定围绕汽车生命周期和数据生命周期两条主线的数据安全标准。同时建立智能网联汽车数据安全认证制度、数据安全评级及公示制度等，构建完善汽车行业数据安全管理体系。