歐盟網路暨資訊安全局發布聯網與自動化運輸安全性建議報告
歐盟網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2021年5月5日發布聯網與自動化運輸安全性建議報告(RECOMMENDATIONS FOR THE SECURITY OF CAM)(下稱「CAM安全報告」),即針對自動/連結車輛或自動駕駛車輛生態系統之相關利害關係人,提出網路安全挑戰分析與安全性建議報告。
聯網與自動化運輸(Connected and Automated Mobility, CAM)產業之服務與技術的連結性與發展性持續擴增,CAM全球利害關係人面臨更複雜的網路安全攻擊風險。依據聯合國2021年1月生效新的車輛資訊安全管理法規(UNECE Regulation on Cyber Security and Cyber Security Management Systems)規定汽車製造商必須遵守管理車輛資安風險、確保價值鏈緩解風險設計、偵測回應車輛安全、提供安全的軟體更新確保車輛空中介面安全等資安四項原則以確保車輛免遭網路攻擊。
隨著歐盟決定將上述規範轉化為政策,歐盟將自2022年7月起針對所有新車型實施強制性規定,並對自2024年7月生產之所有車型之新車實施強制性規定。為此,ENISA於CAM安全報告中,針對CAM產業網路安全政策決策者、智慧交通系統營運商(OITS)、原始設備製造商(OEM)、交通管理部門、智慧城市營運商、汽車副廠零件商、行動服務供應商、標準化組織等公、私部門,指出CAM面臨之網路安全挑戰,並提出安全性建議,俾利改善與協調歐盟CAM生態系統之網路安全。
CAM安全報告中提出了CAM產業面臨之網路安全挑戰,並提供相關安全性建議,內容如下:
- 企業活動與網路治理整合:從連結服務與非車載系統,到各式基礎設施、設備、產品與服務、車輛與軟體行動(soft-mobility)裝置等, CAM複雜的互連性,造成企業面臨不同層面的網路安全挑戰。基此,ENISA建議從董事會層面促進網路安全的整合及數位化轉型,將網路安全與治理融入至企業活動中,並加速企業採購網路安全方案,緩解企業網路安全問題。
- 企業高層應支持與網路安全優先之政策:企業成本考量使網路安全治理無法成為企業優先確保成為CAM產品與服務生命週期中的核心業務。基此,ENISA建議企業應重視產品或服務之安全性,建立企業網路安全文化,如為企業各管理階層訂定培訓計畫等。同時,也為CAM生態系統的所有利害關係人制定通用的網路安全需求和責任。
- CAM技術複雜性因應:由於CAM產業價值鏈的利害關係人眾多,產業間互相影響劇烈,各項產品、服務與營運都將影響最終用戶、產品與企業的安全,造成網路安全的實施與管理方面的挑戰。ENISA建議推廣使用妥適的安全認證方案,促進對車載與非車載解決方案的安全評估,並在產品生命週期內對漏洞的發現和修復進行標準化。
- 網路安全技術限制:CAM 產業朝向連接性和自動化的方向發展,透過不同種類連結技術通訊,將引發實體與數位領域的安全風險,考量威脅樣貌不斷演變,ENISA建議當需保護之資產歸客戶所有且已脫離企業掌控下,通過雲端和線上(air)提供更新/維護與事件回報能力,並應使用威脅建模來發現相關的威脅場景以及相關的信任邊界(trust boundaries),並為其設計適當的安全措施。
- 分散的監管環境:儘管歐盟的法規趨於統一,但在各會員國仍需遵守其國內之具體規範,導致CAM產業須遵守眾多標準與法規。基此,ENISA建議為CAM產業制定新且統一的法規與指南,明確國家標準和責任,並减少創新障礙。同時,建議檢視現行車輛法規之妥適性,並且促進汽車產業多方利害關係人對於科技標準與法規方面制定上之共識。
- 關於CAM的網路安全專業知識與技術不足:網路安全專家除具備IT安全專業外,還應具備軟體安全、網路安全、密碼學、嵌入式系統(embedded systems)和營運科技(OT)等其他領域的知識。同時,不同科技領域,需要各種類型的網路安全能力,以確保CAM產品和服務的安全。基此,ENISA建議鼓勵IT/OT與自動化(mobility)專家間進行跨功能安全與知識的交流,並從學校推廣網路安全,解决整體產業安全知識的不足。
- 缺乏網路安全資訊共享與合作:車輛製造商、供應商、汽車售後服務營運商、服務提供者、交通營運商和公共機構等利害關係人得利用CAM數據提供現代自動化服務。而企業間數據取得與交換,信任和數據治理是網路安全與安全模型所要解决的關鍵挑戰。ENISA建議持續強化歐盟資安資訊分享暨分析中心(Information Sharing and Analysis Centre, ISAC)之功能,並促進CAM產業更多利害關係人參與ISAC。
綜上,ENISA致力於智慧車輛與智慧交通系統的網路安全,透過提出CAM安全性建議報告,提供歐盟CAM產業強化網路安全,提升網路威脅之應對能力。
相關連結
- How to Secure the Connected & Automated Mobility (CAM) Ecosystem: https://www.enisa.europa.eu/news/enisa-news/how-to-secure-the-connected-automated-mobility-cam-ecosystem
- UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles: https://unece.org/sustainable-development/press/un-regulations-cybersecurity-and-software-updates-pave-way-mass-roll
- Proposal for a new UN Regulation on uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system: https://unece.org/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf