美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。
文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。
「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。
「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。
本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊至善
法律研究員 編譯整理
NATIONAL HIGHWAY TRAFFIC SAFETY ADMINISTRATION, Cybersecurity Best Practices for the Safety of Modern Vehicles (2022), https://www.nhtsa.gov/sites/nhtsa.gov/files/2022-09/cybersecurity-best-practices-safety-modern-vehicles-2022-pre-final-tag_0_0.pdf (last visited Oct. 4, 2022).
楊至善,〈英國法律委員會提出75項自駕車修法具體建議,突破框架建構新體系〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8798&no=64(最後瀏覽日:2022/10/5)
江敔菲,〈美國交通部發布國家道路安全戰略,建立五大核心目標期待實現道路零死亡願景〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8785&no=64(最後瀏覽日:2022/10/5)
張雅婷,〈加拿大運輸部發布自駕系統測試指引2.0,為建立全國一致的實驗準則〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8781&no=64 最後瀏覽日:2022/10/5)
科法觀點
美國佛羅里達州一名商人日常透過網路管理其帳戶資金出入,其資金主要是在美國與中南美洲間流動。該名商人發現其銀行帳戶有異常的資金流向拉脫維亞而向警方報案,經調查發現他的電腦被植入名為Coreflood的特洛伊木馬程式,致其銀行帳戶存取密碼被盜用。該名商人認為銀行明知網路上有此種危險而怠於告知客戶,且銀行明知拉脫維亞以網路犯罪猖獗而著稱,對於其帳戶內大筆的異常資金流出亦疏於防範,爰對銀行提起訴訟。據信,本案為銀行儲戶因受網路詐欺而控告其銀行的首例。
美國白宮為因應TikTok威脅頒布行政命令,以維護資通訊技術與供應鏈國家安全美國白宮為因應TikTok威脅,於2020年8月6日頒布第13942號行政命令,以確保資通訊技術與供應鏈國家安全,禁止在美國管轄範圍內的任何人或相關實體,與中國大陸「字節跳動(ByteDance)」及其子公司為任何交易行為。本行政命令係依據美國《國際緊急經濟權力法》(International Emergency Economic Powers Act, IEEPA)、《國家緊急狀態法》(National Emergencies Act, NEA)及《美國法典》(United States Code, U.S.C.)第3篇第301條,以及2019年5月15日頒布的第13873號行政命令,要求國家應維護資訊、通信技術和供應鏈安全,並採取措施以應對國家緊急情況。由中國大陸企業開發及所有的行動應用程式,例如TikTok及WeChat等已威脅到美國國家安全、外交政策及經濟利益,必須採取應對措施。據查TikTok會自動從使用者方擷取大量資料,包括網際網路、定位資料及瀏覽紀錄等。此種資料蒐集行為將使外國人及政黨可以取得美國個人的專屬敏感資訊,追蹤到聯邦政府人員及政府承包廠商位置,建立個人資料檔案進行勒索和商業間諜活動。美國國土安全部、美國運輸安全管理局(Transportation Security Administration, TSA)和美國武裝部隊,已禁止在聯邦政府的通訊設備上使用TikTok,防止資料被竊取並傳輸至境外伺服器。 面對美國全面封殺中國大陸資通訊產品,中國大陸近來亦透過出口管制方案進行反制,2020年8月28日中國大陸商務部會同科技部,調整《中國禁止出口限制出口技術目錄》,將涉及軍民兩用的53項技術,納入出口管制清單。凡涉及向境外技術移轉,無論是採用貿易、投資或是其他方式,皆須申請省級商務主管部門的技術出口許可,獲得批准後方可對外進行實質性談判,簽訂技術出口契約。其中,因TikTok的人工智慧與演算技術,已被含蓋在目錄的管制清單內,若是TikTok要從中國大陸境內轉讓相關技術服務予境外,應暫停相關交易及實質性談判,先履行申請許可程序再為後續行動。
美國國家標準暨技術研究院發布「全球AI安全機構合作策略願景目標」,期能推動全球AI安全合作美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2024年5月21日提出「全球AI安全機構合作策略願景目標」(The United States Artificial Intelligence Safety Institute: Vision, Mission, and Strategic Goals,下稱本策略願景),美國商務部(Department of Commerce)亦於2024年參與AI首爾峰會(AI Seoul Summit)期間對外揭示本策略願景,期能與其他國家攜手打造安全、可靠且可信賴之AI生態系。 由於AI可信賴與否往往取決於安全性,NIST指出當前AI安全所面臨的挑戰包含:一、欠缺對先進AI之標準化衡量指標;二、風險測試、評估、驗證及確效(Test, Evaluation, Validation, and Verification, TEVV)方法不健全;三、欠缺對AI建模後模型架構與模型表現間因果關係的了解;四、產業、公民社會、國內外參與者等在實踐AI安全一事上合作程度極為有限。 為因應上述挑戰並促進AI創新,NIST在本策略願景中擬定以下三大戰略目標:(1)推動AI安全科學發展:為建立安全準則與工具進行技術合作研究,並預先部署TEVV方法,以利評估先進AI模型之潛在風險與應對措施;(2)推展AI安全實務作法:制定並發布不同領域AI風險管理之相關準則與指標,以達到負責任設計、開發、部署與應用AI模型與系統之目的;(3)支持AI安全合作:促進各界採用前述安全準則、工具或指標,並推動全球合作,以發展國際通用的AI安全風險應對機制。