美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。
文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。
「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。
「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。
本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
楊至善
法律研究員 編譯整理
NATIONAL HIGHWAY TRAFFIC SAFETY ADMINISTRATION, Cybersecurity Best Practices for the Safety of Modern Vehicles (2022), https://www.nhtsa.gov/sites/nhtsa.gov/files/2022-09/cybersecurity-best-practices-safety-modern-vehicles-2022-pre-final-tag_0_0.pdf (last visited Oct. 4, 2022).
楊至善,〈英國法律委員會提出75項自駕車修法具體建議,突破框架建構新體系〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8798&no=64(最後瀏覽日:2022/10/5)
江敔菲,〈美國交通部發布國家道路安全戰略,建立五大核心目標期待實現道路零死亡願景〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8785&no=64(最後瀏覽日:2022/10/5)
張雅婷,〈加拿大運輸部發布自駕系統測試指引2.0,為建立全國一致的實驗準則〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8781&no=64 最後瀏覽日:2022/10/5)
科法觀點
歐盟RoHS、WEEE政策實施在即,出身歐洲第一大品牌的飛利浦(Philips)率先響應,今年所有LCD監視器符合RoHS全面無鉛化,代工夥伴冠捷(AOC)隨第二季正式合併飛利浦顯示器事業部,也將導入無鉛製程。國內兩大LCD監視器製造大廠明基、光寶也已防患未然,製程無鉛化製程提早開跑。 飛利浦今年在台灣LCD監視器策略,其中之一是全面推展無鉛化產品線,W、P、B、S四大系列全面符合歐盟RoHS規定,鉛含量在○‧一%(1000ppm)以下,可說領先各品牌率先推出無鉛產品。 監視器製造大廠冠捷(AOC)已和飛利浦已簽訂顯示器事業部併購意向書,第二季起將正式啟動合併機制,而飛利浦在台灣僅留下採購、行政、台灣行銷業務部門。因此這套無鉛製程,也將如期導入至AOC的產線之中。至於國內製造大廠光寶、明基也已如期順利切換到無鉛製程。光寶目前綠色採購達成率已約七成,今年底則將達九成,因應製程無鉛化需要,還添購五部X光檢測設備,以期達到滴水不漏效果;至於明基明年起工廠端也不再生產舊款機種,一律符合無鉛化作業。 儘管無鉛製程難度相當高,不過對LCD監視器而言,挑戰最高卻是無汞化,因為冷陰極管(CCFL)內必含汞,所以歐盟規定裡則將CCFL燈管、投影機燈泡列為例外條款,不過隨著環保意識抬頭,LCD監視器業者已有以LED背光模組取代冷陰極管(CCFL)計畫。
歐盟希望類比電視頻譜供給WiMax之用歐盟資訊社會和媒體委員會委員Viviane Reding女士,2007年6月1號在希臘一場和寬頻議題相關的演講說中建議,當歐洲電視類比頻段逐漸淘汰時,這些超高頻段頻譜(Ultra High Frequency)應該分派給寬頻網路技術(例如:WiMax)之用。 WiMax是Worldwide Interoperability for Microwave Access的縮寫,一般中譯為「全球互通微波存取」,是一種新興的無線通訊技術,其傳輸速度最高可達70Mbps,傳輸範圍最廣可達30英哩,對個人、家庭與企業的行動化將有很大助益。由於WiMax目前頻譜規劃限制在5.7FHz和3.4GHz區段裡,如果安排在500到800MHz超高頻段上,那WiMAX基地台涵蓋的範圍將提高,並能大大地減低成本。 Viviane Reding女士在該演說中提到,「無線寬頻技術的出現,是克服偏遠或農村地區數位落差現象的重要要素,且是處理數位落差的唯一世代機會。因此,需要一個頻譜的政策框架,釋放這種潛力。」她同時也提到,如果期望以低價擁有更大幅度的無線寬頻速度,則需要釋出具高傳輸性的頻譜。簡言之,決策者應仔細探究從類比轉換成數位化後所產生的數位落差問題,同時思考有無可能在UHF開拓出空間給無線寬頻。
日本修訂《教育資訊安全政策指引》以建構安全的校園ICT環境日本文部科學省於2022年3月發布「教育資訊安全政策指引」(教育情報セキュリティポリシーに関するガイドライン)修訂版本,該指引於2017年10月訂定,主要希望能作為各教育委員會或學校作成或修正資訊安全政策時的參考,本次修訂則是希望能具體、明確化之前的指引內容。本次修訂主要內容如下。 (1)增加校務用裝置安全措施的詳細說明: 充實「以風險為基礎的認證」(リスクベース認証)、「異常活動檢測」(ふるまい検知)、「惡意軟體之措施」(マルウェア対策)、「加密」(暗号化)、「單一登入的有效性」(SSOの有効性)等校務用裝置安全措施內容敘述。 (2)明確敘述如何實施網路隔離與控制存取權的相關措施: 對於校務用裝置實施網路隔離措施,並將網路分成校務系統或學習系統等不同系統,若運用精簡型電腦技術(シンクライアント技術)則可於同一裝置執行網路隔離。另外,針對校務用裝置攜入、攜出管理執行紀錄,並依實務運作調整控制存取權措施,例如安全侵害影響輕微者則可放寬限制以減輕管理者負擔。
歐盟通過經濟安全關鍵技術領域建議,以利會員國進行關鍵技術風險評估歐盟執委會(European Commission)於2023年10月3日公布「關於歐盟經濟安全關鍵技術領域之建議」(Recommendation on Critical Technology Areas for the EU’s Economic Security),以便與各會員國進行經濟安全關鍵技術之風險評估。該建議源自於歐盟於6月發布之「歐盟經濟安全戰略」(European Economic Security Strategy)目的在於地緣政治緊張之局勢下,將最大限度的減少經濟流動所帶來之風險,為歐盟經濟安全制定全面的戰略方針。此「建議」列出十大關鍵技術領域的清單,係根據以下標準進行風險評估: (1)技術是有促成及轉型之本質(Enabling and Transformative Nature of the Technology)。 (2)民用與軍用融合技術之風險(The Risk of Civil and Military Fusion)。 (3)科技可能被用於侵害人權之風險(The Risk the Technology Could Be Used in Violation of Human rights)。 根據上述標準所列出十個關鍵技術領域後,其中有四個領域項目被認定是最敏感之技術領域,分別有半導體、人工智慧技術、量子技術及生物技術四大類別。 歐盟積極制定此計畫,以確保先進技術不落入敵國手中,減少對於如中國等國家單一供應商之依賴;歐盟預計於今年年底與會員國進行廣泛的風險評估,以確保下一步可能所採取的措施,可能包含出口管制及對外之審查投資,預計於2024年初提案。