隨著數位化、自動化科技的開展,汽車產業亦大步邁向車聯網與自動駕駛的未來。車聯網的概念就是物聯網,運用多重通訊技術,實現車輛與車輛、車輛與駕駛員,甚至車輛與雲端或公共基礎設施之間的互動;換句話說,透過一套縝密的網路通訊系統進行數據資料的傳遞,打造出能協同人、車、路以及環境的智慧網絡。
綜觀整個聯網自動車的產業生態系統,若將車子置於核心位子,聯網科技所牽涉的對象相當廣泛,包含車體的製造商、上下游供應商、購車客戶、相關基礎建設、監管機構與驗證機構等等,因科技的應用連結眾多單位,使得當我們在談論車子時,其概念已不僅限於單個機械車體,而是在聯網技術下,運作的電腦(程式)與潛在的資安風險。有鑑於此,BSI臺灣隱私保護與車聯網資安產品經理孫文良於演講中特別提醒:「當新的應用科技生成時,將可能辦伴隨著全新的(資安)風險,應做妥善地評估與處理。」
當眾所期待的車聯網或自動駕駛車逐漸在市場上嶄露頭角時,首個重要問題就是──如何加強資安風險的控管? BSI孫經理表示,汽車產業的安全標準涵蓋三個範疇,分別為功能安全(Functional Safety)、品質(Quality),以及資訊與網路安全(Information & Cyber Security);除了被視為資安標準的基礎ISO 27001之外,ISO/SAE 21434與TISAX(Trusted Information Security Assessment Exchange)也是目前資訊與網路安全(Information & Cyber Security)範疇中較受關注的相關標準。
ISO 21434標準於2021年8月正式公告,孫經理表示,聯合國日前所制定的法規中,規範汽車產業的製造商須符合網路安全管理體系(Cyber-Security Management System,CSMS)的要求,而ISO/SAE 21434的標準則展現出CSMS的具體訴求,不僅確保整個供應鏈的流程與管理都達到合規性,也能透過實踐標準,形塑組織的網路安全文化。
孫經理提及ISO 21434的前身是 SAE J6031。綜觀其標準,從第5到第8的條款,講述的重點在於組織層面的網路安全政策,建立、維護並實施整體的資安規則和流程;另外,在第9-11條中,ISO 21434標準側重車輛的總體(V-model)開發過程和產品生命週期,分別在概念、開發、驗證、生產、營運與維護及退役等階段提出相關要求,依照其規定能產出該階段的工作文件,以確保其驗證有效。
概括而言,ISO/SAE 21434的優勢在於協助組織採取合理措施,不僅預防網路安全問題與培養內部網路安全之文化,也彰顯組織企業對網路安全的承諾。
另一部分,資訊的透明化也是重要議題,TISAX(Trusted Information Security Assessment Exchange)為目前2,500多個公司所共同使用的資安標準交換平台,該標準的存在能確保供應鏈夥伴間資訊安全的透明度,並保持彼此間對安全評估標準的一致性;在TISAX平臺之上,無論供應鏈中的哪個環節,通過公認的資訊安全評估流程其稽核結果都可放置於TISAX平臺上,從而促進組織間的資訊交流。
孫經理特別提出TISAX與ISO 27001的關聯與差異,他表示TISAX其中所羅列的41個安全控制項目與ISO 27001附錄A中的控制要求相似,不過整體而言兩個標準作用的面向是不同的,ISO 27001係以維持組織自身的資安安全性為主;TISAX則是作為資訊交換的第三平台方,可促成整個產業供應鏈的資安管理透明化與標準化。
於演講最後,孫經理再次強調TISAX的執行不僅能減少供應商之間對資訊安全的重複評估,增加效率,也能促進整個汽車供應鏈的信任與信心。如今汽車產業的數位化在進步,資安面向的需求當然也要有所保固!