ISO/SAE 21434《道路車輛-網路安全工程》(Road vehicles – Cybersecurity engineering)在今年8月31正式發布為國際標準。(圖片來源:擷取自ISO國際標準組織官方網站)

在新能源車、自駕車等技術發展之下,車聯網也同時成為必然的趨勢,這也使得汽車需顧慮新的受攻擊面,其資安風險議題也如物聯網技術發展, 備受各界關注,因為車輛若被不肖分子遠端控制,這可是攸關人身與道路安全,屆時,誰該負責?

對此,在今年的3月,鴻海成立新能源電動車產業資安聯盟,當時有多位資安專家提建議,要相關廠商注意接軌國際產業標準的重要性,關注歐美針對汽車產業提出的網路安全規範,而即將成形的ISO/SAE 21434國際標準,更是關鍵之一。到了8月31日,這項國際標準終於正式發布,可望成為汽車網路安全的主要參考。

歷5年制定,以威脅分析與風險評估為核心

關於ISO/SAE 21434:2021,全名是:「道路車輛-網路安全工程2021年版」,主要由國際標準組織(ISO),以及國際汽車工程協會(SAE)發布。而它的前身,是SAE J3061:2016,以此為基礎,再將內容與結構完全重新編整。

基本上,傳統汽車產業過去熟知的標準是ISO 26262,是車用電子系統的功能安全(Functional Safety)規範,然而,隨著車聯網領域的蓬勃發展,對於網路安全的風險,以及車載系統與軟體安全等資訊安全功能,也成為各方關注議題。

為此,2016年10月,ISO與SAE召開ISO/SAE 21434標準啟動會議,隨後,在2018年提出委員會草稿,於2019年12月,開始登記草案版本並準備投票。

歷經將近5年,今年終有結果,在2021年3月開始登記最終草案版本(FDIS),經過後續投票作業確認FIDS版本,並在8月31日正式發布為國際標準。

值得關注的是,在這份標準文件中,針對道路車輛電氣和電子(E/E)系統工程,所面臨的各種網路安全風險,已經予以闡述,並且規範現代車輛與網路安全工程有關的目標、要求,以及指南,用意是讓整個供應鏈都能確保車輛資安,並透過此標準文件作為共識的基礎。

具體而言,這份標準共有15個章節,以及附錄A到附錄H,所規範的網路安全風險管理工程要求,涵蓋道路車輛的E/E系統概念、產品開發、生產、操作、維護與除役報廢。這項標準另一個重要的核心,就是針對威脅分析與風險評估(TA­)方法提出說明,目標是要讓車輛在早期的產品設計開發時,識別潛在的威脅與安全漏洞。同時,這裡也定義了一個框架,涵蓋網路安全流程的要求,並建立溝通與網路安全風險管理的共通語言。

簡而言之,推動這項標準的目的,就是為了確保現代的汽車產業,從設計開發、生產到生產後的整個生命周期,都應具有安全設計, 重視風險管理,並能涵蓋到整個供應鏈。

長期來看,在各國的汽車網路安全規範之外,ISO/SAE 21434正式發布後,這項標準將是車聯網發展的重要里程碑,畢竟,若缺乏Security方面的標準,汽車製造商也難以實現Safety。相反地,對於全球汽車製造商與供應鏈而言,能在風險管理上,藉此標準來獲得最佳實踐的工具。

換言之,在這套國際標準制定之後,也將意謂著,汽車製造商與零組件供應商依循ISO/SAE 21434標準,可便於符合全球汽車網路安全管理法規要求。

在2021年8月31日,首個關於車輛網路安全的ISO標準出爐,這項標準的制定在近年已經不斷受到產業間的重視,如今終於正式發布。(圖片來源:擷取自ISO國際標準組織官方網站)

根據ISO/SAE 21434:2021標準的文件結構,專注汽車資安的CYRES Consulting公司,特別建立了一個可視化圖表,讓產品開發生命週期的概念可以更好呈現。(圖片來源/CYRES Consulting)


熱門新聞

Advertisement