【行業新聞】汽車產業升級面臨的車聯網與供應鏈安全問題

 

1. 電動車國際標準法規的推行

為了因應變化迅速的網路攻擊型態，保護使用者不受威脅，國際上近幾年開始推動相關法規，檢測汽車電子設備安全合規性及維護供應鏈安全已然成為未來趨勢，相關法規如下: 

• ISO / SAE 21434 : 針對汽車電氣化零組件與系統安全定義

• UNECE R155 / R156 CSMS Regulations : 分別針對汽車資安網路風險 / OTA軟體更新安全

• ISO 26262 : 針對汽車電子電氣系統功能安全

• TISAX / ISO 27001 : 防止洩密法規

 

2.  電動車法規更新與使用者權益

近幾年全球電動車占比大幅提升加上車用電子普及，世界迎來科技革新但也面臨更迭快速的網路攻擊危害，為了全面性的保護駕駛乘客安全與權益(特別是因網路攻擊意外的權益受損甚至人身傷害)，除國際規標外，各國也正積極針對汽車網路安全的部分進行修法，並推廣重視產品網路安全的觀念，車用電子製造商及車廠應執行產品網路安全&功能安全認證，可確保在驗證合規性已越來越被重視的產業環境下順利銷售，且給使用者多一層保障。在(汽車)保險制度方面，國內保險制度及保費的計算都需要依法來修訂，而現今的汽車與電動車可能遭受到的意外傷害已不侷限於物理，還有可能受到遠端攻擊，對於這部分的國內法規更新也受到重視。

 

3. 車廠如何落實合規性產品安全的條件

落實產品安全的守則是要確保風險可預測、可防、可控

• 可預測 – 測試設備

• 可防 – 利用加密技術、檢測系統(軟體或平台)、軟體工具鏈等等

• 可控 – HARA(針對功能安全)、Automotive TARA(針對網路安全掃描漏洞與偵測攻擊)、FSR(最後的安全檢查)等等

 

4. 多數汽車 OEM 廠與一階供應商 (Tier 1) 面臨的難題

• 需要上游零件供應商跟進配合執行產品安全工作

• 高層與部門之間對於汽車資安的徹底執行無法達成共識，導致資金、資源不足而推行困難

• 執行產品安全需要多個部門之間的配合，包含研發、IT、法務、售後與公關 (須建立消費者信心)

• 產品安全涉略廣泛，目前許多公司由於產品安全各個專業人才不足，無法組成清楚分工架構與SOP來完整執行及長期管理，導致效果不彰

 

5. 自動化供應鏈的網路安全

前陣子外國一品牌生產芯片的工廠受到勒索軟體病毒攻擊，造成生產線必須停產兩週，在全球芯片供應因疫情衝擊已經處於短缺的情況下，此突如其來的攻擊又使品牌陷入困境，交期延遲連帶影響公司可能須賠償、股價下跌等經濟面損失。由此案例可知重視網路安全不單單局限於產品，對於供應鏈安全也是一個迫在眉睫的需求。

 

6. 專業認證公司給企業的建議

要落實產品安全及功能安全並非一蹴可幾，企業可採取化繁為簡、量力而行、循序漸進的三大守則，先將基礎扎穩再慢慢往細部的分工去完整安全架構，並組成一個可長期管理網路安全與功能安全的專業團隊，最終希望能在各部門(除技術部門之外)都有可進行網路安全溝通改進的人才，以便即時因應快速演變的攻擊型態，而技術部門的人才也需要不斷精進與研究使其管理更加完善。

 

Cybellum 資安漏洞管理平台 - 最佳的網路安全解決方案(Cybersecurity)

Cybellum 資安漏洞管理平台，在單一的控制平台就可以協助產品及設備，在整個生命週期內，管理網路安全及檢視網路的合規性。

幫您的產品從 前期設計與研發 到 後期營運 的安全防護層層把關。

• Cybellum 資安漏洞管理平台｜產品簡介