汽車產業「資訊安全管理系統(CSMS)」法規細部解讀

2021年1月份，UNECE 針對汽車產業的CSMS(Cyber-Security Management System)法規正式生效，這份法規將影響車廠及其子公司、供應商、服務提供商。

Cybersecurity系列文章
- 汽車產業「資訊安全管理系統(CSMS)」法規概述與8個重點要求
- 汽車產業「資訊安全管理系統(CSMS)」法規細部解讀
- 汽車產業「資訊安全管理系統(CSMS)」法規之威脅與建議緩解措施(Annex 5)
- 汽車產業「資訊安全管理系統(CSMS)」驗證要求
- 汽車產業「軟體更新和軟體更新管理系統」條例概述
- 汽車產業「軟體更新和軟體更新管理系統」條例細部解讀
- 汽車產業「軟體更新和軟體更新管理系統」驗證要求
- VDA QMC針對汽車產業的3大標準布局
- IEC 62443與汽車產業「資訊安全管理系統(CSMS)」的重要關係

背景

聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日通過了新的法規要求，並於2021年1月份，正式生效。

關於該法規的詳細背景介紹，請參考另外一篇文章：汽車產業「資訊安全管理系統(CSMS)」法規概述與8個重點要求

本篇文章將著重在「網絡安全管理系統」(Cyber Security Management System, CSMS) 的法規要求。法規針對汽車製造商所定義的規格內文，共分成四個部分：

1. 一般性規格: 描述本法規不應限制其他聯合國法規的規定或要求)
2. CSMS的相關需求: 描述CSMS涵蓋範圍，及所需要的流程(processes)。
3. 車輛類型需求: 描述針對車量類型的額外需求。
4. 報告規定: 描述應回報的資訊、回報後的後續行動及可能罰則

本文所使用到的翻譯與縮寫，定義如下：
1. CSMS: Cyber Security Management System
2. Security: 安全
3. Cyber Security: 網絡安全
備註：因應車輛存在Safety與Security，因此在尚未確認這兩者中文的翻譯時，筆者會盡量透過提前說明，表達文章中文字的意義。

CSMS的需求

汽車製造商應具備CSMS並確保其符合UNECE所提出的規格要求。(需要透過驗證確保上述的CSMS合規)，CSMS應適用並包含以下：

1. CSMS應包含的以下階段：
   a) 開發階段(development phases)
   b) 生產階段(production phase)
   c) 生產後階段(post-production phases)
2. 流程：網絡安全管理
3. 流程：識別車輛風險
   (此流程，應考量Annex 5-Part A列出的威脅及其他相關威脅
4. 流程：風險評鑑、分類和處置
   風險(包含威脅與弱點)經評鑑、分類後，如果需要反應(意即需要處理)，則應在一個合理的時間，將此風險進行緩解。
5. 流程：驗證所識別風險被適當管理
6. 流程：測試車輛類型的網絡安全
7. 流程：確保風險評鑑(即第4個流程)是最新的
8. 流程：監控、偵測和響應(車輛類型)網絡攻擊、網絡威脅和弱點
   確保監控、偵測的持續性，包含：
   a) 車輛初次被註冊在監控中
   b) 從車輛資料和日誌中分析及偵測網絡威脅、弱點、攻擊的能力 (該能力應尊重本法規(法規章節1.3)，本法規應尊重及車輛擁有者、駕駛人的隱私權，及其意願)
9. 流程：當新網絡威脅與弱點被識別時，應評鑑既有的控制措施，並確保其是否持續有效
10. 流程：提供相關資料以協助分析嘗試性或已成功的網絡攻擊

值得一提的是，法規中亦載明下面的內容

車輛製造商應被要求證明其CSMS將如何管理上述2~10流程與其簽約供應商、服務提供商或其子公司之間可能存在的依賴關係。

車廠對供應商的向下要求將勢不可擋
針對上述的法規內容，換句話說就是，當車輛製造商的CSMS流程跟其簽約供應商、服務提供商或其子公司有依賴關係時，車輛製造商會向下要求其供應商、服務提供商或其子公司建置CSMS，以符合法規的要求。

針對上述法規描述的內容，如若要建置CSMS，公司亦要同時考量ISO/SAE 21434的規定，其參考模型定義如下：(關於此整合模型，我將會在接續的文章中詳細介紹)

CSMS參考流程模型，參考ISO 21434及ISO 31000

特別說明：
筆者所提供的CSMS模型僅為參考模型，並非法規所提及的模型。建議讀者可以參考既有的標準，制定CSMS的模型。建議可參考標準如下：
1. IEC 62443
2. ISO 27001
3. ISO 31000
4. ISO 21434

車輛類型需求

• 應擁有與所批准車輛類型相關的CSMS有效合規證明。

然而，對於2024年7月1日之前的車輛類型批准，如果能夠證明其不能根據CSMS開發車輛類型，則應證明在有關車輛類型的開發階段已充分考慮網絡安全。

• 應針對批准的車輛類型，識別和管理供應商相關的風險(7.3.2)
• 應針對車輛類型的關鍵(重要)元件，進行更仔細的風險評鑑，並針對所發現的風險進行適當的處置與管理。其中，風險評鑑時應考慮車輛類型的個別單元及其互動，更應進一步考慮與外部系統之間的互動。在進行風險評鑑時，應考慮Annex 5-Part A及其他相關風險。

(筆者註：該需求可在流程3、流程4中，特別加註)

• 應因應風險評鑑所識別的風險，保護車輛類型。應採取相稱的緩解措施來保護車輛類型。其中，實施的緩解措施應包括Annex 5-Part B和PartC中提及的與所識別的風險相關的所有緩解措施。然而，如果Annex 5-Part B和PartC中提及的緩解措施與所識別的風險沒有關聯，則應確保其他適當的緩解措施被實施。

特別是對於2024年7月1日之前的車輛類型認可，如果Annex 5-Part B或Part C中提到的緩解措施在技術上不可行，則應確保實施另一種適當的緩解措施。技術可行性的相應評估應提供給認證機構。

• 應採取適當和相稱的措施以確保車輛類型上用於存儲和執行售後軟體、服務、應用程式或數據的專用環境(如果提供)。
• 在車輛類型認可前，應進行適當和充分的測試，以驗證所實施安全措施的有效性。
• 應對車輛類型採取措施：
  a) 偵測和防止對車輛類型的車輛進行網絡攻擊
  b) 支持在偵測與車輛類型相關的威脅、漏洞和網絡攻擊方面的監控能力
  c) 提供數位鑑識能力，以分析嘗試性或已成功的網絡攻擊

(筆者註：這一條需求與上述流程8，高度相似)

• 用於本法規的密碼模組應符合共識標準，如果所使用的密碼模組不符合共識標準，則應說明其使用理由。

報告規定

1. 車輛製造商應回報給國家技術服務(National technical services)或認證機構(Homologation authorities)至少一年一次(或多次，或相關事件)。回報
   a) 上述流程8的監控、偵測和響應的資訊；及
   b) 上述流程4的風險緩解措施資訊
   相關內容包含：
   a)網絡攻擊、網絡威脅和弱點
   b)尤其應回報「新網絡攻擊」的相關資訊
   c) 相關緩解措施是否持續有效，以及是否有採取的行動
2. 國家技術服務(National technical services)或認證機構(Homologation authorities)應驗證車輛製造商所提交的資料，如果必要，將會要求車輛製造商補救被認定無效的措施
3. 如果車輛製造商所提交的報告或回應是不足夠的，認證機構可決議撤銷其CSMS。

感謝閱讀本文章！

如果你對文章內容有任何問題，請隨時與我聯絡。
if you found any questions in the article, please feel free to contact me.

mailto: linchewing@gmail.com