UNECE R 155《網絡安全及網絡安全系統》(Cyber security and cyber security management system)是聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP.29)發佈的法規,列出有關汽車網絡安全(Automotive Cybersecurity)的需求,以減少網絡攻擊的風險,並且要求建立網絡安全管理系統(cyber security management system),此法案是在2020年6月24日發佈[1]

R 155的內容

編輯

R 155要求汽車的製造商需建立網絡安全管理系統(CSMS),並且確保此系統可以通過車輛型式審查德語Typgenehmigung (Kraftfahrzeug)

在網絡安全管理系統中有定義汽車開發的流程,可以系統化的處理和評估網絡攻擊的風險

法規中只要求汽車零件供應商德語Automobilzulieferer要通過R 155。製造商需證明有能力控管供應商的風險[2],因此就和其他產品責任英語Product liability風險的管理類似,製造商也會要求供應商導入網絡安全管理系統。在ISO/SAE 21434中,也有透過網絡安全協議(着重網絡安全的服務介面協議德語Leistungsschnittstellenvereinbarung)來進行要求。

網絡安全管理系統

編輯

網絡安全管理系統(CSMS)有以下的特點:

  • 風險管理:需由製造商導入有關網絡威脅風險識別、評估以及減緩的流程[3]
  • 流程必須包括汽車開發、汽車生產,以及使用者實際駕駛的階段[4]
  • 針對在運行的車輛,必須針對已知的攻擊進行監控,並且更新軟件,以確保汽車的安全。
  • 需由獨立機構[5]進行評估,以證明供應商的網絡安全管理系統符合R 155的要求。有能力執行此一任務。認證效期3年[6]。這也是汽車製造商生產車型通過型式審查前的必要條件。

一般認為網絡安全管理系統可以偵測到新的網絡威脅,並且發展防範的對策。R 155設定了要做什麼以及如何檢查的準則,但R 155不會強制網絡安全管理系統的設計方式,也沒有明確說明可以避免哪些網絡威脅,以及如何避免網絡威脅的方案。

以風險分析為主

編輯

附錄5以風險分析的角度,列出了許多攻擊方式以及攻擊標的。R 155沒有強制要依附錄5進行分析,不過一般在認證的評估時,也會假設已針對這些攻擊方式進行處理。

附錄5有提到:

  • 汽車和周遭設備的無線通訊,例如,在製造時和更新伺服器的通訊,需考慮的是對車聯網通訊或是keyless go英語keyless go功能的危害。
  • 韌體更新流程的安全性,以避免更新到植入惡意程式的韌體。
  • 避免車上人員的介入,(車上人員的介入會讓攻擊者可以用欺騙的方式採取行為,例如在PC上用郵件釣魚式攻擊)。
  • 程式和資料的安全防護,避免資料更改或是外流。
  • 透過不適當的加密方式進行的保護,或是一些加密方式在開發時是適當的,但隨着科技的演進而失去保護效果(例如過短的密鑰)。

章節B說明攻擊的手法以及防範的方式,章節C說明對於內部人士攻擊的防護,以及從製造商後端伺服器攻擊的防護。

ISO/SAE 21434的角色

編輯

ISO/SAE 21434是在實現UNECE R 155時的指南,也是車輛產業中的標準。VDA有發行Automotive Cyber Security Management System Audit,讓汽車產業可以準備網絡安全的評估。

範圍

編輯

依照UNECE R 155,需在以下分類的車輛上實施網絡安全管理系統[7]

也包括含有自動駕駛功能的車輛。

相關問題

編輯

R 155法規的附錄5中有舉出許多需要檢查的攻擊,但沒有說明製造商的對策要進行到什麼程度才算是足夠。附錄5的範例包括有關車輛本身的攻擊(ISO/SAE 21434標準包括的內容),以及有關後台伺服器的攻擊(是ISO/IEC 27001標準包括的內容)。

R 155有定義需為運行中車輛提供軟件更新的期間,這個期間的範圍很廣。R 155要求在產品生命週期的所有階段都要可以提供安全更新,其最後一個階段「量產後階段」(post-production phase)要到此型式的車已沒有在道路上運行時才能結束[8]。依照標準的定義,每一部此一型式的車都會延長其產品生命週期的最後一個階段。一般車輛的開發階段約二至三年,商用車的量產階段最多七年,之後的平均維護時間約有十年。以汽車產業的觀點來看,會有一個問題:在開發階段實施安全更新的軟件環境,在停止生產英語End of Production後的某個時間點,會因為軟件整合環境、作業系統或硬件廠商的授權機制結束而無法運作。

另一方面,隨着新的加密演算法需要更多的運算時間及記憶體,微處理器的性能及記憶體已不符需求,也需進行更換。這特別容易發生在時序要求嚴格的電子控制器,例如引擎控制、剎車及轉向。

已在2020年6月24日通過的UNECE R 156《軟件更新及軟件更新管理系統》,若軟件更新的功能是和型式審查(例如廢氣、剎車)有關的,在發佈之前需先檢查,並且需要經過核可。以攻擊者的觀點來看,這是很吸引人的目標,目前還不清楚上述的規定,是否會影響從安全漏洞發現,到最早發佈安全更新的時間。

相關條目

編輯

參考資料

編輯
  1. ^ Nations, United Nations Economic Commission for EuropeInformation UnitPalais des; Geneva 10, CH-1211; Switzerl. UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles. www.unece.org. [2020-11-10]. (原始內容存檔於2020-11-28). 
  2. ^ UNECE R 155, Section 5.1.1. (a)
  3. ^ UNECE R 155, 2.3節
  4. ^ UNECE R 155, 7.2.2.1節
  5. ^ UNECE R 155, 5.1.1節有提到test institute或是approval authority
  6. ^ UNECE R 155, 6.7節
  7. ^ UNECE R 155, 1.1節, 1.2節
  8. ^ UNECE R 155, 2.7節

文獻

編輯