汽車網路安全：2024年7月起實施新的強制法規

內容

• 為什麼汽車網路安全如此重要？
• 為什麼汽車產業會成為如此多攻擊事件的中心？
• 攻擊途徑有哪些？ ？
• 聯合國歐洲經濟委員會 R 155 和 R 156：汽車網路安全法規
• 新規適用於哪些人群？會產生哪些影響？
• 什麼是網路安全管理系統（CSMS）？它有哪些好處？
• 建構網路安全管理系統 (CSMS) 的最佳途徑：ISO 21434 標準及車輛網路安全審計的引進
• 企業如何為版本控制系統（VCS）稽核做好準備？
• 汽車網路安全：為何企業現在必須採取行動
• 成功的c 獲得DQS認證

為什麼汽車網路安全如此重要？

近年來，車輛的研發和設計發生了翻天覆地的變化：曾經的機械交通工具早已演變成一台裝了輪子的電腦。過去，諸如煞車踏板和煞車片、轉向系統和前軸等車輛部件是物理連接的，而現在，它們完全透過數位控制器進行通信，這些控制器向執行器發送電信號。現代車輛的幾乎每個部件都實現了數位化聯網，以確保最佳性能和行車安全。因此，現代智慧汽車始終處於線上狀態——但各種車載電腦和輔助系統也日益成為網路攻擊的目標。

一個真實且令人擔憂的場景是，車輛的引擎、煞車或轉向系統遭到操控，這可能對車內乘客和其他道路使用者構成生命威脅。自動駕駛問題則更具爆炸性：電子控制系統的決策權限越大，（遠端）介入其駕駛行為就可能造成致命後果。

為什麼汽車產業會成為眾多攻擊事件的中心？

國際ISO 27001標準是跨行業的通用方法資訊安全「汽車網路安全」一詞指的是汽車產業數位系統的安全。我們的汽車越來越依賴連網的電子系統和軟體應用。因此，保護這些組件的安全變得日益重要——這在整個行業中都至關重要。這始於汽車製造商，延伸至供應商和工程服務供應商，並最終到達軟體和資訊通訊技術基礎設施服務提供者。聯合國針對汽車製造商及其供應商制定的兩項新法規旨在確保汽車資訊技術的安全。

攻擊途徑有哪些？

現代車輛可能成為駭客攻擊的目標，攻擊方式多元。以下是一些例子：

現代車輛的各種連接功能，尤其是藍牙和無線區域網路等無線接口，可能是入侵車輛系統和電子控制單元（ECU）最危險的途徑。除了車載資訊娛樂系統之外，大量可用於控制關鍵功能的配套應用程式也是一個重大的安全漏洞。

越來越多的汽車製造商依賴空中下載（OTA）更新來保護自身及其客戶免受耗時的召回和昂貴的維修費用之苦。然而，能夠接收OTA更新的車輛也更容易受到惡意攻擊者的入侵。 OTA更新對針對整個車型系列的大規模網路攻擊構成最高風險。

未來，車聯網（V2X）互聯技術也需要更多關注。 V2X指的是車輛與其周圍環境中的實體（例如車輛本身）之間持續不斷的通信，透過比對位置資訊來避免交通擁堵和事故。

人工智慧日益增長的影響力已顯而易見。基於人工智慧的方法使攻擊者行動更快、更具創造性。必須採取強而有力的應對措施，例如基於人工智慧的預防性漏洞掃描。

- 有時危險更加顯而易見：例如，無鑰匙進入系統會透過攔截或欺騙訊號造成車輛被竊的風險。

聯合國歐洲經濟委員會 R 155 和 R 156：汽車網路安全法規

為了應對汽車產業日益增長的威脅，聯合國於 2020 年夏季推出了兩項重要的新法規：UNECE R 155 和 UNECE R 156。

- UNECE R 155 規定了保護車輛免受網路攻擊的要求，並強調了精心實施的網路安全管理系統 (CSMS) 的關鍵作用。

另一方面，UNECE R 156 著重於確保車輛整個生命週期的持續安全，並強制要求實施和運行符合標準的軟體更新管理系統 (SUMS)。

這兩項法規將於2021年初生效，自2022年7月起，僅對新型車輛強制執行。最終，到2024年7月1日，這些法規將適用於所有新生產的車輛。

雖然新規總體上無疑是合理的，但許多組織很快就對其提出了批評：新規過於籠統，缺乏具體的行動建議。因此，讓我們仔細檢視這些新規。

新規適用於哪些人群？會產生哪些影響？

新規適用於所有將汽車及其他車輛投放市場的機構，並要求它們確保其產品和系統在整個供應鏈中的網路安全。汽車製造商也對其供應商負有責任，現在透過合約強制供應商執行新規。

近年來，一些汽車製造商被迫徹底停產部分老款車型。這並非因為這些車型銷售不佳，而是因為要為這些舊款車型的整個生命週期提供軟體更新保障，在實際操作中（或合約上）根本無法實現。

原因在於：車輛的生命週期通常比軟體應用程式長得多。對於即將淘汰的產品而言，能否在十年或更長時間內提供更新似乎難以保證。許多原始設備製造商 (OEM) 和供應商並未考慮到新的 UNECE R 155 盡職調查義務在車輛生命週期內可能產生的成本。新的網路安全管理系統 (CSMS) 和軟體更新要求旨在確保網路安全責任在合約中得到明確約定，並在典型的 15 年車輛生命週期內具備必要的技能和能力。企業可以透過 DQS 的 VCS 審核獲得其 CSMS 符合性證明。

什麼是網路安全管理系統（CSMS）？它有哪些好處？

實施網路安全管理系統 (CSMS) 的目標是將組織內部的網路安全管理系統化，並使其與既定的國家或國際標準保持一致。成功實施 CSMS 的關鍵要素包括：

- 該組織必須擁有最新的風險管理系統，並制定健全的流程來識別、評估和緩解網路威脅風險。

風險管理涵蓋產品的整個生命週期—從開發、生產和營運到處置。

- 對新漏洞和已知攻擊的全面監控，能夠透過有針對性的更新，快速回應網路攻擊。

網路安全管理系統 (CSMS) 除了能幫助企業降低風險和確保合規性之外，還能帶來許多好處：其中最主要的一點是，它使企業的網路安全狀況可量化——通常由經授權的審計服務提供者進行獨立評估。企業可以隨時了解自身的網路安全狀況，並能隨時提供證明。此外，外部審計還能以客觀公正的態度，指出企業在網路安全方面仍需加強之處。

此外，作為此過程的一部分，汽車供應商必須採取深入且以風險為導向的方法來維護車輛在其整個生命週期內的資訊安全，從而提高所有層級對網路安全的認識。

建構網路安全管理系統 (CSMS) 的最佳途徑：ISO 21434 標準及車輛網路安全審計的引進

2021 年 8 月，國際標準化組織 (ISO) 和汽車工程師協會 (SAE) 發布了 ISO/SAE 21434，為組織實施 CSMS 提供了國際有效的指南，可作為參考。

然而，正如預期的那樣，該標準在實際應用中存在不同的解釋。由於汽車產業供應鏈高度整合，因此，統一的安全措施至關重要。為此，ENX迅速做出改進：透過車輛網路安全（VCS）審核，ENX提供了新的合規性證明方案，該方案更加統一，也更能滿足產業需求。

全球標準化的VCS審核仍基於ISO 21434標準，但已與汽車產業的組織密切合作，並補充了一些必要的擴充內容。展望未來，審核目錄旨在根據需要快速更新，以便更快地應對汽車行業或網路威脅情勢的新發展。

企業如何為版本控制系統（VCS）稽核做好準備？

VCS審計的前提條件是TISAX認證。 ^®評估結果證明中央資訊安全管理系統符合TISAX標準。 ^®資訊安全管理系統 (ISMS) 確保安全資訊處理的基本規則和程序得到遵守。 VCS 審核中包含的站點數量必須是 TISAX 審核中包含的站點數量的子集。 ^®評估。此外，組織內必須實施中央品質管理系統（可選標準：IATF 16949、ISO 10007、Automotive SPICE）。 ^® ，ISO/IEC 330xx、ISO/IEC/IEEE 15288 或 ISO/IEC/IEEE 12207）。

該組織必須明確指出其應向原始設備製造商 (OEM) 或其他供應商提供的標籤類型。這些標籤要求決定了必須滿足 VCSA 測試目錄中的哪些特定要求：

1. 版本控制系統開發該組織負責版本控制系統（VCS）的開發活動，直到達到生產就緒狀態。

2. VCS 生產該組織以安全的方式製造預先配置的VCS組件。

3. VCS 運作與維護該組織監控 VCS 組件的安全運作並管理安全事件，例如透過開發更新並透過 OEM 的中央車隊管理系統交付更新。

VCS審核流程包括以下階段：

1. 在啟動會議上，版本控制系統（VCS）首席審核員會詳細介紹流程，並闡明他對相關人員和網站投入的期望。在此步驟中，首席審核員會決定組織中VCS專案的數量及其風險評估。
2. 該組織根據 ENX VCSA 審核目錄對中央 CSMS 進行自我評估，並將結果（包括引用的 CSMS 文件）提交給首席審核員。
3. 在中央 CSMS 維護的地點，根據證據在現場驗證政策和流程的符合性。
4. 首席審計師從VCS專案集中抽取基於風險的樣本。風險可源自內部專案評估（稱為威脅分析和風險評估 (TARA)）的結果。如果樣本量異常大於最初估計，則DQS估計值將進行調整，以反映增加的工作量。
5. 樣本中的 VCS 專案決定了具體包含哪些 VCS 位置的哪些開發團隊。
6. 將對選定的開發團隊進行遠端訪談，並邀請 VCS 專家參與，以確定 VCS 專案的實施情況以及在 VCS 組件生命週期的所有階段是否滿足 CSMS 要求。

與TISAX類似^®成功通過審核的VCS客戶將在ENX資料庫中取得上述標籤，並可將審核結果提供給相關方（OEM廠商和客戶）。 VCS標籤有效期限為3年。

汽車網路安全：為何企業現在必須採取行動

如上所述，新規將於2024年7月1日起對所有新生產的車輛生效。在最壞的情況下，不符合CSMS和軟體更新要求的製造商將面臨相關車型無法獲得認證的風險。另一方面，透過新的VCS審核認證，能夠向監管機構和商業夥伴發出強有力的信號，證明所有安全相關方面的實施均已到位，並確保車輛在整個生命週期內獲得長期的信任。

成功獲得DQS認證

DQS是您在管理系統和流程審核與認證方面的專家。作為ENX協會認可的審核服務提供者，我們為您提供汽車行業所有相關標準的認證。憑藉我們符合IATF 16949標準的品質管理系統認證和TISAX®評估等產品，我們和您的DQS審核員已累積了豐富的行業知識。

充分利用我們專家的知識，以獲取有關全新汽車網路安全法規及其對貴組織影響的詳細資訊。我們擁有超過 35 年的經驗，以及遍佈全球的 2500 名審核員的專業技能，是您值得信賴的認證合作夥伴，能夠解答您關於資料保護和資訊安全的所有問題。