汽車產業「資訊安全管理系統(CSMS)」法規概述與8個重點要求

(更新2021/1/12) 聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日通過了新的法規要求，並於2021年1月份，正式生效。

Cybersecurity系列文章
- 汽車產業「資訊安全管理系統(CSMS)」法規概述與8個重點要求
- 汽車產業「資訊安全管理系統(CSMS)」法規細部解讀
- 汽車產業「資訊安全管理系統(CSMS)」法規之威脅與建議緩解措施(Annex 5)
- 汽車產業「資訊安全管理系統(CSMS)」驗證要求
- 汽車產業「軟體更新和軟體更新管理系統」條例概述
- 汽車產業「軟體更新和軟體更新管理系統」條例細部解讀
- 汽車產業「軟體更新和軟體更新管理系統」驗證要求
- VDA QMC針對汽車產業的3大標準布局
- IEC 62443與汽車產業「資訊安全管理系統(CSMS)」的重要關係

背景

隨著車輛系統的高度發展，汽車產業正歷經了數位化的變革。如今，一輛汽車包含多達150個電子控制單元(ECU)和大約1億行的軟體代碼，而這個數字將在2030年再成長3倍。

當汽車走向高度數位化，資訊安全的風險也將遽增，由駭客攻擊而導致安全性問題，將威脅著車輛安全和消費者的隱私；如同筆者在ISO/SAE 21434文章中，也提到騰訊科恩實驗室成功駭入特斯拉的實例，汽車產業的資訊安全已刻不容緩。

新頒布法規所涵蓋的四大主題

有鑑於汽車的資訊安全風險，聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日通過了兩個法規要求，並於2021年1月份，正式生效。這兩項法規將涵蓋以下4個主題，分別為：

1. 管理車輛的資訊風險(或稱「網絡風險」，原文為Cyber Rik)
2. 透過設計來減輕在價值鏈中的風險，以確保車輛的安全
3. 偵測並回應整個車隊的安全事件
4. 提供功能與資訊的安全軟體更新，並確保不損害到車輛安全；針對所謂的”空中升級(OTA updates)”

額外補充: OTA updates
一般所謂的OTA updates，指的是Over-The-Air updates，即空中升級的意思。
車輛的空中升級，一般可以分為兩類，分別是：
1) 空中軟體升級(Software Over-the-Air, SOTA)
2) 空中韌體升級(Firmware Over-the-Air, FOTA)
常見的導航圖資更新、媒體應用系統更新等皆屬於空中軟體升級的範圍，相對來說，空中韌體升級則是能夠針對電子控制單元(ECU)進行升級，由於ECU的改動可能導致或造成車輛安全或網絡安全的風險，因此在技術上非常具有挑戰性。

這4個主題，將分別在兩份文件中展開，分別為：

1. 聯合國網絡安全和網絡安全管理系統法規(簡稱《網絡安全管理系統法規》)，涵蓋第1至第3個主題，本文將針對這的主題細談。
2. 聯合國軟體更新和軟體更新管理系統條例，涵蓋第4個主題。

額外補充:各國對於新法規的反應與動向
由世界車輛法規協調論壇(WP29)所頒布的兩項法規，將於2021年1月份，正式生效，目前主要反應的國家：
1. 日本：當法規生效後，計畫採用這些規定
2. 南韓：採取循序漸進的方式，在2020年下半年將《網絡安全法規》的規定納入了一項國家指南，並在第二步著手實施該法規
3. 歐盟：新的《網絡安全法規》將從2022年7月起對所有新車型強制實施，並將對2024年7月起對所有新生產的車輛強制實施
額外備註：歐盟法規的參照
歐盟於2020年1月發布了《一般安全條例》(Regulation (EU) 2019/2144)，原文提到：
(26) The connectivity and automation of vehicles increase the possibility for unauthorised remote access to in-vehicle data and the illegal modification of software over the air. In order to take into account such risks, UN Regulations or other regulatory acts on cyber security should be applied on a mandatory basis as soon as possible after their entry into force.
根據該指令，歐盟已宣布計劃引入EU的安全相關法規，以便從2022年7月開始對所有"新車型"強制執行，並在2024年7月之後針對所有“首次註冊”車輛的強制性要求。

網絡安全管理系統法規

前提與概要

過去，在資訊技術(information technology, IT)的環境中，針對其安全(Security)定義了「資訊安全管理系統」，英文為Information Security Management System。然現今在，汽車產業的領域，涉及到營運技術(operation technology, OT)，因此針對OT環境的安全(Security)，將被定義做「網絡安全管理系統」，英文為Cyber security(或Cybersecurity) Management System。

筆者為了適應台灣的命名習慣，因此本文中均稱「資訊安全管理系統」

—

適用範圍

適用於一般轎車(passenger cars)、貨車(vans)、卡車(trucks)和公共汽車(buses)。詳細適用車種，請參考標準截圖與表格定義：

備註: 本表格參考UNECE車輛車種定義。

—

應涵蓋的3大階段與其目標

「車輛製造商」所建置的「資訊安全管理系統(CSMS)」應涵蓋三個階段：

1. 開發階段(development phases)
2. 生產階段(production phases)
3. 生產後階段(post-production phases)

針對各階段，應涵蓋必要流程(processes)並達成以下目標：

1. 識別和管理車輛設計中的網絡安全風險
2. 驗證(包括測試)風險已得到管理
3. 確保風險評估保持最新狀態
4. 監控網絡攻擊並做出有效反應
5. 支援分析成功(或嘗試)的攻擊
6. 根據新的威脅和漏洞，評估網絡安全措施是否仍然有效

額外補充:
因應法規所涵蓋的階段，推測會由車廠向下要求Tier1、Tier2、Tier3。早在2019年Volkswagen的供應商要求(VGAS)中，就已經提到「資訊安全管理系統(CSMS)」的概念。

—

法規的8大重點要求

「車輛製造商」應在車輛上市前，證明滿足以下要求：

1. 資訊安全管理系統(CSMS)已經到位，並且可以將其應用於道路車輛
2. 提供風險評估分析，識別關鍵問題
3. 識別降低風險的緩解措施
4. 透過測試(加上證據)確保緩寫措施如預期的運作
5. 採取措施來偵測和預防網絡攻擊(原文為cyber-attacks)
6. 支援數位鑑識的措施已到位
7. 監測特定車輛類型的活動
8. 監測活動的報告將發送給相關的認證機構

—

關於認證與有效性

「車輛製造商」應通過國家技術服務(National technical services)或認證機構(Homologation authorities)的稽核，以確保其資訊安全管理系統(CSMS)的有效性。

額外補充:
VDA QMC(德國汽車工業聯合會品質管理中心)在2020年6月也推出第一版的《車用資訊安全管理系統稽核》(黃色草稿版，請參考下圖)，該文件的發布亦表示VDA將採用UNECE WP29所頒布的資訊安全管理系統法規，值得持續關注。

VDA QMC所頒布的《車用資訊安全管理系統稽核》第一版

感謝閱讀本文章！

如果你對文章內容有任何問題，請隨時與我聯絡。
if you found any questions in the article, please feel free to contact me.

mailto: linchewing@gmail.com