面對聯網車輛資安挑戰 聯合國推統一規範作準繩
(中央社訊息服務20211217 11:58:20)
聯合國世界車輛法規協調論壇制定「網路安全管理系統」規範,從車輛設計、製造乃至停產等階段,提出相關網路安全管理措施。
車輛連結網路、提供即時資訊傳輸,可以為道路安全、舒緩壅塞及運輸平權帶來莫大幫助,然而越來越多的資安攻擊事件卻成為交通數位轉型的一大隱憂。資策會科技法律研究所(資策會科法所)長期投入智慧交通及自動駕駛車輛國際法規分析,觀測到近來聯合國積極制定車輛網路安全統一規範,作為各國車輛型式安全審驗標準,從製造端為車輛網路安全把關。
聯合國世界車輛法規協調論壇制定「軟體更新管理系統」規範,從軟體端進行資料管理及安全防護,包含軟硬體兼容性驗證、告知更新內容及更新是否成功及完整保存更新紀錄等。
資策會科法所法律研究員楊至善指出,自2016年起,專責制定車輛國際統一規範的聯合國世界車輛法規協調論壇(World Forum for Harmonization of Vehicle Regulations, WP.29)便著手研擬車輛資訊安全標準。其規範分成「網路安全管理系統(Cyber Security Management System, CSMS)」及「軟體更新管理系統(Software Update Management System, SUMS)」兩大面向,分別訂定不同之車型許可統一要求,於今(2021)年1月22日正式生效,成為聯合國第155號及第156號規範。
楊至善表示,CSMS規範重點在車輛整體生產流程,包含從設計、製造乃至停產等階段所採行之網路安全管理措施,並詳細羅列車輛網路安全可能之弱點、威脅和攻擊手法,製造商必須根據列表一一擬定因應措施,如建立登入權限分級管理機制或資料與密碼之保護措施等。而SUMS規範則要求車廠遵守車輛軟體更新相關程序義務,包含於發送更新前執行軟硬體兼容性驗證、確保更新不會影響行車安全、充分告知車輛使用人更新內容及更新是否成功,並且利用車型使用系統識別碼(RX Software Identification Number, RXSWIN)機制,完整保存該車型每次更新之軟硬體組態紀錄。
楊至善進一步說明,同意適用CSMS與SUMS兩份規範的會員國必須設置專責認證機構,指派適當充足的稽核人員,除書面審查申請案之外,並應實地執行示範測試。許可證書效力最多3年,屆期可申請展延。申請人必須為車輛製造廠商或其有權代表人,送審資料若涉及營業機密或特有技術,可做保密處理,文件必須保存至車型完全停產後10年始得移除。認證機構得隨時抽查車廠是否遵守規範,發現不符得廢止證書。
楊至善補充,CSMS與SUMS兩份規範最大不同處,在CSMS適用對象為M類載客四輪車輛、N類載貨四輪車輛、O類拖車,及L6類、L7類四輪輕型慢車中具備自動駕駛功能者,而SUMS適用對象則排除L類車輛,並增加R類農用拖車及S類與T類曳引機。此外,CSMS為車輛申請車型許可(Vehicle type approval)時之必要文件,SUMS則非,即使SUMS證書失效,亦不影響現有車型許可之效力。
車輛聯網技術的大規模實現是全球可預期的發展趨勢,我國近年亦積極扶植車輛智慧化及車聯網之部屬,聯合國今年發布的第155號及第156號規範,為聯網車輛之網路安全管理及車輛軟體更新程序管理奠定國際統一的安全審驗標準,相當值得我國參考學習。
