藉由以下案例解說,讓企業了解到由於組織的疏忽,或是駭客手法持續演進,不但會造成車載資安事故持續發生,導致企業組織有形與無形資產的損失,也會讓車主面臨道路行駛上的資安風險與人身安危。
汽車電子化與數位化帶來的風險
汽車電子化與數位化為車主帶來了科技的便利 (例如:透過手機遠端遙控汽車),但也隨之衍生出各種資安風險。
- 趨勢科技2021年在一場研討會中表示,由於95%車用零組件業者都在臺灣,駭客傾向鎖定車廠供應鏈業者的網站電子郵件寄發釣魚郵件,或是透過攻擊供應鏈廠商的網站、進到公司內部電腦,再設法把惡意程式安裝到一些常用公版系統的原始碼中,等到原本公版系統的程式被車廠使用後,駭客就可以伺機啟動惡意攻擊,勒索車廠和車主。
- 在最近的幾個月內,許多專家發現充電樁的駭客事件有所增加,其中包括將勒索軟體安裝在充電樁上,讓充電速度減慢或是完全停止。同時駭客也可以鎖定正在使用充電樁的客戶資料,甚至駭入充電樁只是為了節省充電費用。
產業風險
根據UPSTREAM 2021 Auto Cybersecurity Report可以看到以下產業風險 :
- 大多數汽車業駭客攻擊,皆出自於惡意企圖。2020年55% 的駭客攻擊目的是破壞業務運作、竊取財產和勒索贖金。
- 與汽車相關的 CVE(常見漏洞和曝露)數量正在增長,至2021年為止,已有 110 個與汽車行業相關的 CVE;2020年為 33 個, 2019年則為 24 個。
- 資訊外洩和車輛盜竊是 2020 年網路攻擊的主要影響之一,36% 的事件涉及資訊和隱私外洩,28%的事件涉及車輛盜竊或闖入。
針對汽車製造商所制定的兩項規定,2021生效
目前最普及的ISO/IEC 27001(簡稱“ISMS”)國際標準,雖然有助於企業建立先進的資安防護系統,然而並無法滿足汽車產業的特殊需求。為了降低汽車在道路行駛的資安風險,以及因此發生的道路事故,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日,汽車製造商制定了兩項規定,並於2021年1月份正式生效:
第一項:
UN Regulation No. 155 : 網路安全管理系統 (CSMS, Cyber Security Management System)
第二項:
UN Regulation No. 156 : 軟體更新管理系統 (SUMS, Software Update Management System)。
另外,歐盟計畫在 2022年7月之前強制要求批准新車型,必須遵從UN Regulation No. 155及156的相關規定,並在 2024 年 7 月之前將其擴展到舊架構。因此,世界各地的汽車製造商在其供應商的參與下將負責其車輛設計、實施和驗證適當保護措施的任務。
ISO/SAE 21434「道路車輛-網路安全工程」
依據並參考CSMS網路安全管理系統要求,ISO/SAE 21434因此制定完成,並已於2021-08-31正式發佈。主要是為了解決道路車輛電氣和電子 (E/E) 系統工程中的網路安全問題,透過確保考慮適當的網路安全,使 E/E 系統的工程能夠跟上最先進的技術和不斷發展的攻擊方法。除此之外,也提供了與網路安全工程相關的詞彙、目標、要求事項和指南,作為整個供應鏈共同理解的基礎。這能使組織,定義網路安全政策和流程;管理網路安全風險;促進網路安全文化。
ISO/SAE 21434規定了網路安全風險管理的工程要求,涉及道路車輛電氣和電子 (E/E)系統(包括其元件和介面)的概念、產品開發、生產、運作、維護和除役。並且定義了一個框架,其中包括對網路安全流程的要求事項以及用於溝通和管理網路安全風險的通用語言。適用於ISO/SAE 21434發佈後開始開發或修改的批量生產的道路車輛電子電氣系統,包括其元件和介面。
ISO/SAE 21434 條款簡介如下 :
SGS 管理學院:https://twap.sgs.com/Trainsys/
洽詢:tw.CBE.marketing@sgs.com
