汽車資訊安全：新的強制性法規在 2024 七月正式上路

內容

• 為什麼汽車資訊安全極為重要？
• 為什麼汽車產業成為資安攻擊的主要目標？
• 攻擊途徑是什麼？ 
• UNECE R 155 與 R 156：汽車資訊安全法規
• 新法規適用對象及其影響？
• 什麼是資訊安全管理系統 (CSMS)？好處為何？
• 建立 CSMS 的最佳方式：ISO 21434 與汽車資訊安全稽核的導入
• 企業如何準備 VCS 稽核？產業，網路安全是否可以得到驗證？
• 汽車資訊安全：為何企業應該立即採取行動
• 與 DQS 合作：成功獲取車用資安驗證

為什麼汽車資訊安全極為重要？

近年來，汽車的研發與設計發生了巨大變化：曾經作為純粹機械交通工具的汽車，如今已經成為「裝上輪子的電腦」。過去，像剎車踏板與剎車裝置或方向盤與前軸這類部件之間是物理連接的，而現在，它們作為一個系統，完全依賴數位控制器透過電信號與執行器進行溝通。現代汽車中的幾乎每一個零件都透過數位網路互相連接，以確保最佳性能和駕駛安全。因此，現代智能車輛始終保持在線狀態 —— 但其內部的各種車載電腦和輔助系統也越來越成為網路攻擊的目標。

一個現實且令人擔憂的情況是，車輛的引擎、剎車或方向盤遭到操控，這可能對車內乘客和其他道路使用者構成致命威脅。自動駕駛技術的發展更讓這個議題變得更加迫切：根據電子控制系統擁有的決策權限大小，對其駕駛行為的（遠程）干預可能導致災難性後果。

為何汽車產業成為網路攻擊的主要目標？

隨著數位化進程的加快，網路攻擊風險急速上升。汽車製造商因以下幾個原因成為網路犯罪分子的理想目標：

首先，汽車製造商幾乎都是規模龐大、引人注目的企業，其產品在全球廣泛流通。相比家電甚至食品產品的召回，一家知名車企的車輛召回往往能引發更大的公眾關注。

其次，成功入侵車輛系統可能立刻帶來危及生命的後果，這使製造商面臨更大的壓力，也使汽車行業特別容易受到勒索軟體攻擊的威脅。

第三，必須坦誠的是，汽車行業的網路安全發展程度遠不及其他高科技產業。

目前，大多數攻擊集中於入侵原廠設備製造商（OEM）或其供應商的系統，並藉此進行勒索。除了高潛在損害外，汽車行業還面臨另一種脆弱性：該行業以時間最佳化的供應鏈為特徵，一旦某個關鍵供應商出現問題，可能導致整個原廠製造商生產設施的幾乎完全停擺。

2023 年 6 月，一次針對某主要供應商的勒索軟體攻擊要求支付約 7,000 萬美元的贖金，這是有史以來網路攻擊中最高的贖金要求之一。

攻擊途徑是什麼？

現代車輛的數位化與連接技術讓駭客有了多種攻擊方式，以下是幾個典型例子：

• 無線連接功能： 現代車輛的連接功能（例如藍牙和無線網路）是進入車輛系統與電子控制單元 (ECUs) 的最危險途徑之一。除了車輛的資訊娛樂系統，使用者伴隨應用程式的普及（如遠程控制車輛關鍵功能的應用程式）也是一大弱點。
• OTA (空中下載) 更新： 越來越多的汽車製造商依賴 OTA 更新，以避免耗時的召回或昂貴的維修。然而，支援 OTA 更新的車輛也更容易受到惡意攻擊者的滲透。針對整個車系的OTA更新攻擊可能帶來大規模的網路安全風險。
• 車聯萬物 (V2X) 技術： V2X 是指車輛與其環境中的實體進行不間斷的通信，例如車輛之間的定位信息交換，以避免交通堵塞和事故。未來，V2X 技術將成為攻擊者的另一個重點目標。
• 人工智慧 (AI) 的影響： 駭客已經開始使用 AI 技術，使攻擊變得更迅速、更具創意。必須採取強有力的應對措施，例如基於 AI 的預防性漏洞掃描技術。
• 車輛盜竊： 一些風險更為具體，例如無鑰匙進入系統。駭客可以攔截或模擬信號，從而竊取車輛。

這些攻擊途徑強調了車輛網路安全的重要性，並需要更強大的防護措施來應對日益增長的威脅。

UNECE R 155 & R 156：汽車資訊安全法規

為應對汽車行業日益增長的威脅，聯合國於2020年夏季推出了兩項重要的新法規：UNECE R 155 和 UNECE R 156。

• UNECE R 155 定義了保護車輛免受網路攻擊的要求，並強調了精心實施的網路安全管理系統（CSMS）在這一過程中的關鍵作用。
• UNECE R 156 則聚焦於確保整個車輛生命周期中的持續安全，並要求實施和運行符合標準的軟體更新管理系統（SUMS）。

這兩項法規將於2021年初生效，且自2022年7月起，對新車型的合規要求已經成為強制性的。最終，至2024年7月1日，這些規定將適用於所有新製造的車輛。

儘管這些新法規通常被認為是合理的，但許多組織很快批評這些規定：它們過於籠統，且對具體的執行建議不足。因此，我們將更仔細地分析這些新法規。

新法規適用對象與其影響

新法規適用於所有將汽車及其他車輛投放市場的組織，並強制要求它們確保產品和系統在整個供應鏈中保持網路安全。原廠設備製造商（OEM）對其供應商負有責任，並且現在已經透過合約要求供應商執行新規定。

近來，一些汽車製造商被迫完全停止某些舊型車系的生產。並非因為這些車型銷售不佳，而是因為無法保證這些舊型車在整個生命周期內能夠進行軟體更新，這對於這些車型來說並不可行（或無法透過合約強制執行）。

原因在於：車輛的生命周期通常比軟體應用程式長得多。對於這些即將淘汰的產品來說，十年或更長時間內能夠提供更新的能力並不保證。許多 OEM 和供應商未考慮到，根據新法規 UNECE R 155，車輛生命周期內的網路安全義務會帶來的成本。新要求包括 CSMS 和軟體更新，旨在確保網路安全責任得到合約保障，並確保在典型 15 年車輛生命周期內具備所需的技能和能力。

組織可以通過 DQS 的 VCS 稽核，獲得 CSMS 的合規性證明。

什麼是網路安全管理系統 (CSMS)？其好處為何？

實施 CSMS 的目標是將網路安全系統化並使其與已確立的國家或國際標準保持一致。成功實施 CSMS 的關鍵要素包括：

• 組織必須擁有最新的風險管理系統，並定義出健全的流程來識別、評估和減輕網路威脅風險。
• 風險管理覆蓋整個產品生命周期——從開發、製造、運營到處置。
• 對新漏洞和已知攻擊的全面監控，使得能夠迅速應對網路攻擊，並通過針對性更新進行防範。

實施 CSMS 不僅能幫助組織降低風險並確保合規，還能帶來一系列額外的好處。最重要的好處之一是，它使組織的網路安全可衡量——通常這需要通過授權的稽核服務提供商進行獨立評估。這樣組織可以隨時了解自己的網路安全狀況，並能提供證明。此外，外部審計能夠無偏見地揭示網路安全領域中仍需要加強的部分。

此外，在這一過程中，汽車供應商必須採取深入且以風險為導向的方法，來維護車輛在整個生命周期中的資訊安全，從而提高各層級對網路安全的認識。

實施 CSMS 的最佳途徑：ISO 21434 與車用資訊安全稽核的導入

2021 年 8 月，國際標準化組織（ISO）和汽車工程師協會（SAE）發布了 ISO/SAE 21434，為實施 CSMS 提供了國際通用的指導方針，組織可以將其作為參考。

然而，正如預期的那樣，在應用中對該標準的解釋有所不同。由於汽車行業擁有高度集成的供應鏈，安全措施的重要性尤其高，ENX 迅速進行了改進：推出了車輛網路安全（VCS）稽核，這為合規性提供了新的選擇，該選項更加統一並且更好地貼合行業需求。

全球標準化的 VCS 稽核依然基於 ISO 21434 標準，但在與汽車行業組織密切合作後，已經增加了若干必要的擴展。展望未來，該稽核目錄將設計為可根據需要快速更新，以便更快速地應對汽車行業或網路威脅領域的最新發展。

企業如何準備 VCS 稽核？

進行 VCS 稽核的前提是 TISAX® 評估，該評估證明組織的中央資訊安全管理系統（ISMS）符合 TISAX® 標準。ISMS 確保遵守安全資訊處理的基本規則和程序。VCS 稽核所涵蓋的站點數量必須是 TISAX® 評估中包含的站點的子集。此外，組織必須實施中央品質管理系統（QMS）（可能的標準包括：IATF 16949、ISO 10007、Automotive SPICE®、ISO/IEC 330xx、ISO/IEC/IEEE 15288或ISO/IEC/IEEE 12207）。

組織必須確定其需向原廠設備製造商（OEM）或其他供應商提供哪一種標籤。這些標籤要求決定了VCSA測試目錄中必須滿足的具體要求：

1. VCS 開發：組織負責 VCS 開發活動，直至產品準備生產。
2. VCS 生產：組織以安全的方式製造預配置的 VCS 元件。
3. VCS 運營與維護：組織監控 VCS 元件的安全運行，並管理安全事件，例如通過開發更新並通過 OEM 的中央車隊管理系統交付這些更新。

VCS 稽核過程包括以下幾個階段：

1. 啟動階段：VCS 主導稽核員詳細介紹過程，並制定對參與人員和站點輸入的期望。在此步驟中，首席審核員確定組織內 VCS 項目的數量及其風險評估。
2. 自我評估：組織根據 ENX VCSA 稽核目錄對中央 CSMS 進行自我評估，並將結果連同引用的 CSMS 文件提交給主導稽核員。
3. 現場驗證：在維護中央 CSMS 的站點，根據證據現場驗證政策和流程的合規性。
4. 風險基礎抽樣：主導稽核員從 VCS 項目集中選擇風險基礎的樣本。風險可以從內部項目評估（稱為威脅分析與風險評估，TARA）的結果中導出。如果樣本量超過原來的預估，DQS 將調整估算，以反映增加的工作量。
5. 選定 VCS 項目：樣本中的 VCS 項目決定了哪些開發團隊和 VCS 位置被具體納入。
6. 遠端面談：選定的開發團隊將與 VCS 專家一起進行遠程面談，以確定 VCS 項目如何實施，並檢查 CSMS 要求是否在 VCS 元件生命周期的所有階段得到滿足。

與 TISAX® 相似，成功通過稽核的 VCS 客戶將在 ENX 資料庫中獲得上述標章，並能將結果提供給利益相關方（OEM和客戶）。VCS 標章的有效期為 3 年。

汽車資訊安全：為何企業應立即採取行動

如前所述，新的法規將於 2024 年 7 月 1 日生效，適用於所有新製造的車輛。在最壞的情況下，不符合 CSMS 和軟體更新要求的製造商將面臨無法獲得相關車型批准的風險。而根據新的 VCS 稽核進行認證則向監管機構和業務夥伴發出了強烈的信號，證明所有與安全相關的方面已經實施，並確保整個車輛生命周期中的長期信任。

與 DQS 合作，獲取車用資安驗證

DQS 是您在管理系統和流程稽核與認證領域的專家。作為 ENX 協會認可的稽核服務供應商，我們為您提供汽車行業所有相關標準的認證。透過我們的產品，如 IATF 16949品質管理系統驗證或 TISAX® 評估，我們及 DQS 稽核員已經擁有豐富的行業知識。

利用我們專家的知識，獲取有關新汽車網路安全法規及其對您組織影響的詳細信息。擁有超過 35 年的經驗以及全球 2,500 名稽核員的專業知識，我們是您可信賴的驗證夥伴，並提供有關資料保護和資訊安全的所有解答。

TISAX^® 是汽車產業的通用測試和交換程序。它是基於德國汽車工業協會（VDA）開發的 "ISA-資訊安全評估 "調查問卷。這又包含了國際標準 ISO/IEC 27001的基本內容，並透過成熟度模型對其進行擴展。