UNECE R155、R156 強制執行在即,汽車產業資安完善勢在必行

白哲豪

隨科技日新月異,各國政府逐漸將智能汽車列為國家重要發展方向,並開始強力支持智能車產業的推進,偕同車廠、電信商和第三方服務業者推波助瀾,帶動智能車市場的快速成長。根據勤業眾信(Deloitte)研究報告分析,從 2020 年到 2030 年全球智能電動車的總銷售量,將會從 250 萬輛成長至 3,110 萬輛,10 年全球智能電動汽車的複合年均成長率將達到 29%。

其中聯網科技(Connected)為智能車發展的重點項目之一,透過網路、APP,進行與車輛之間的連結與整合,讓車輛或車主彼此的訊息流通更為即時,提供了人們更舒適、便利的駕車體驗;不過在高度數位化、享受智能化帶來便利的同時,所需面臨的資安風險也日益擴大,例如:車載網路使汽車比起以往傳統汽車更容易受到網路攻擊,駭客可能利用元件設計上的系統漏洞,遠距控制車輛並進行惡意操作造成危害;又或者駭客入侵手機設備連入車載娛樂系統,進而取得控制權限,導致隱私資料洩露、車載系統運作中斷等,其危害可能將直接影響車輛功能安全,進而導致人身安全風險事故,故在面對汽車智能化所產生的潛在資安風險,我們必須嚴陣以待。

國際車輛資訊安全標準法規——UNECE R155 & R156

因應智能車發展所帶來的潛在資訊安全風險,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)研擬車輛資訊安全標準,在 2020 年頒布了有關車輛網宇安全(UNECE R155)和軟體更新(UNECE R156)的兩項新 UNECE 法規,並於隔年 1 月正式生效;且於 2024 年 7 月起所有的車型將須通過,方可將車輛銷售到同意適用兩份法規的會員國,如歐盟、日本、南韓等。

為滿足 R155 及 R156 之要求,整車廠必須取得每種車型的有效網路安全管理體系(CSMS)及軟體更新管理系統(SUMS)的認證。為了獲得該認證,車廠必須在「整個供應鏈」中實施網路安全實務及軟體更新安全實務,從而降低車輛在全生命週期(從初始概念到車輛報廢)內遭受攻擊的總體風險。所以新法規的頒布,不僅影響整車廠也同步影響到供應鏈廠商,使整車廠可能會要求其供應商須符合 CSMS 及 SUMS 並取得認證。因此,車輛資訊安全將仰賴車廠與其供應商的協作,除了滿足法規 R155/R156 要求之外,更加完善整體汽車產業資訊安全目標。

鑒於企業的數位應用,建置完善且有效的車用網宇安全管理系統及軟體更新管理系統,將整體車用系統,包含硬體、韌體、軟體、系統等納入安全評估範圍成為必要。此外,勤業眾信也提醒,在車輛/車用電子系統開發初期,提早識別出潛在威脅及漏洞,避免因資訊安全防護不足導致安全隱患,並滿足 UNECE R155 及 R156 法規要求,取得國際認可之認證標準。

勤業眾信顧問團隊除了 UNECE R155/R156 國際法規輔導服務之外,為因應車用網路資訊安全需求及相關領域資訊安全相關之解決方案,彙整以下常見之驗證,提醒業者留意以降低組織風險及衝擊:

ISO/SAE 21434《道路車輛-網路安全工程》國際標準驗證輔導服務

針對汽車網路安全的標準,規範之網路安全風險管理工程要求涵蓋道路車輛的 E/E(電汽及電子)系統概念、產品開發、生產、操作、維護與除役報廢。勤業眾信團隊能夠協助客戶針對威脅分析(TA)與風險評估(RA)方法提出指引、導入網路安全控制制度,讓車輛在早期的產品設計開發時,識別潛在網路安全威脅與安全漏洞。

ISO 24089《道路車輛--軟體更新工程》國際標準驗證輔導服務

車聯網的發展,定期更新車輛軟體已成車載軟體的重要功能之一,確保車輛軟體更新過程中的安全性,以及軟體更新後不影響到車用功能性安全。ISO 24089 標準提供軟體更新機制的安全框架,包含軟體開發基礎架構的安全性要求、軟體升級過程中的風險管控、升級前通告車主機制與升級失敗後的補償方案等等。勤業眾信團隊能夠協助組織識別現況與標準要求的差異,輔導客戶檢視軟體開發及升級機制中的網路安全風險,並提供相對應的風險安全管控機制,滿足其標準要求並協助取得認證。

TISAX 車輛安全評估訊息交換評估驗證輔導服務

汽車產業資安事件不斷,加速歐系車廠推動供應鏈推動 TISAX(汽車安全評估訊息交換平台,Trusted Information Security Assessment Exchange)的腳步。針對所需評估範疇,勤業眾信協助滿足歐系車廠之要求,提供差異分析,執行風險評估、提供風險改善建議與措施、輔導企業滿足 TISAX 要求,進而順利通過稽核取得 TISAX 標章,藉此提升企業在汽車供應鏈市場中的競爭力。

隨著汽車產業不斷追求智慧化和連接性,全球對於汽車網路安全的關切日益增加。如何控管整體車輛、供應鏈、系統運作及系統更新之資訊安全,逐漸成為業界重視的迫切議題,如何評估風險且落實保護措施,是整個汽車產業都需要瞭解的,透過適當的風險控管,降低被潛在威脅影響車輛運行風險,且更能盡情地享受科技進步帶來的便利生活。

隨著汽車網路安全國際強制性法規的實施,企業必須格外注意這些法規將制定的標準和指南,要求汽車製造商和相關供應商確保其產品和系統的安全性,在這個新的法規環境下,企業應該積極參與合規性審查,建立強大的安全文化,並不斷升級其安全技術和措施,以確保產品和服務能夠滿足最高的標準。這不僅是一種遵守法規的義務,更是一種對消費者負責的表現,也有助於維護企業的聲譽和可持續的成功。

更多報導
導入零信任架構:建構安全的組織文化(上)
導入零信任架構:建構安全的組織文化(下)
AI 交通潛力吸引科技業者投入,微軟、Intel 怎麼卡位?