被利用的充电站?
祝大家新年快乐!
电动车在近年都是相当火热的话题,以电动车为攻击目标或借助其发动DDOS攻击的事件也有发生过。在2020年6月,联合国欧洲经济委员会 (UNECE)在世界车辆法规协调论坛 (WP29) 上颁布「车辆网路安全」和「软体更新」两项新法,针对联网与智慧车辆可能遭遇的资安威胁,分别以代号R155、R156进行规范,并于2021年1月正式生效。只要整车、零组件欲销至欧盟市场,则必得通过这两项规范。该等规范更应用到软体及云端操作。法规R155是管理车辆资讯风险和透过设计减轻车用供应链攻击风险 ;法规R156则针对无线传输升级 (OTA)软体及韧体网络安全,例如常见导航图资、媒体应用更新。
其实电动车备受注目,厂商对它的网络安全一定不容忽视。但其周边配套,即是充电设备了,则可能容易被忽略了。因应全球电动车数目不断增加,充电站数目亦大幅上升,现时的充电站可不只是一个仅提供电源的设备,一定也会有电脑和网络,就像一个巨型的IOT 网络。
整个充电过程中,都不乏可以被攻击者利用的地方。例如充电需要收费,内里必定会有客户资料和支付网关。如果物理保护做得不足够,可能用USB就可以把资料偷走了。而且付费过程现在大多都是无接触付款,中途被不法分子在感应器上加工,也是防不胜防。还有这个扩大数量的充电设备,一旦被利用作DDOS,实在不敢想像。
这还有更严重的后果。如充电站被入侵,可引起的事故便十分危险。要知道充电站背后是和电力供应公司连接住的,如被殖入恶意软件,透过电动车充电站作为入口入侵电力公司,影响可以是整个城市。去年关键基础设施受攻击,所带来的后果全球有目共睹。在一些高峰会上,电动车充电设施已经被预测为2023年主要的攻击对象之一,未来可能我们会见到在充电设备上的网络安全会有明显提升。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
