被利用的充電站?
祝大家新年快樂!
電動車在近年都是相當火熱的話題,以電動車為攻擊目標或借助其發動DDOS攻擊的事件也有發生過。在2020年6月,聯合國歐洲經濟委員會 (UNECE)在世界車輛法規協調論壇 (WP29) 上頒布「車輛網路安全」和「軟體更新」兩項新法,針對聯網與智慧車輛可能遭遇的資安威脅,分別以代號R155、R156進行規範,並於2021年1月正式生效。只要整車、零組件欲銷至歐盟市場,則必得通過這兩項規範。該等規範更應用到軟體及雲端操作。法規R155是管理車輛資訊風險和透過設計減輕車用供應鏈攻擊風險 ;法規R156則針對無線傳輸升級 (OTA)軟體及韌體網絡安全,例如常見導航圖資、媒體應用更新。
其實電動車備受注目,廠商對它的網絡安全一定不容忽視。但其周邊配套,即是充電設備了,則可能容易被忽略了。因應全球電動車數目不斷增加,充電站數目亦大幅上升,現時的充電站可不只是一個僅提供電源的設備,一定也會有電腦和網絡,就像一個巨型的IOT 網絡。
整個充電過程中,都不乏可以被攻擊者利用的地方。例如充電需要收費,內裡必定會有客戶資料和支付網關。如果物理保護做得不足夠,可能用USB就可以把資料偷走了。而且付費過程現在大多都是無接觸付款,中途被不法分子在感應器上加工,也是防不勝防。還有這個擴大數量的充電設備,一旦被利用作DDOS,實在不敢想像。
這還有更嚴重的後果。如充電站被入侵,可引起的事故便十分危險。要知道充電站背後是和電力供應公司連接住的,如被殖入惡意軟件,透過電動車充電站作為入口入侵電力公司,影響可以是整個城市。去年關鍵基礎設施受攻擊,所帶來的後果全球有目共睹。在一些高峰會上,電動車充電設施已經被預測為2023年主要的攻擊對象之一,未來可能我們會見到在充電設備上的網絡安全會有明顯提昇。
網絡安全在很多方面還需要注意,如有任何疑問歡迎加入我們的 Cybersec Infohub 計劃,讓行業裏的網絡安全專家為您解決,如果您懷疑自己或公司的電腦被駭或有可疑的行為,亦請盡快聯絡網絡安全專家求助。
