未來車子宛若行動裝置,會承接許多感測器,包含駕駛監控、智慧座艙、偵測心跳、記錄喜好等。而這些資料都會被大量地收集在車子上頭,因此資料安全的保護將格外重要。在軟體定義汽車(SDV)的趨勢下,更凸顯車載資安漏洞問題,因此資安保護的重要關鍵之一,就是從產品設計源頭開始做起。
資誠智能風險管理諮詢公司(PwC)執行董事張晉瑞在15日舉行的MIH x PwC「電動車供應鏈資訊安全合規的機會與挑戰」研討會中表示,台灣在資通訊(ICT)產業的確是全球的主要供應鏈,但面對不可逆的趨勢,許多廠商都想要轉型。在這過程中,台廠固然有爭取訂單的機會與實力,但對於產業別門檻及法令法遵熟悉方面卻面臨巨大挑戰。例如,OEM、Tier 1對供應商的要求需要獲得滿足之外,維持生態圈的資訊交換所帶來的資安挑戰、車用產品生命週期認知、威脅分析和風險評估等都需要克服。
PwC針對有關汽車產業資安風險的法規、客戶期望所面臨的衝擊和困境等議題,對包含德國、美國、日本、南韓在內11個國家的汽車製造商、供應商、市場等調查發現,100%廠商預期車輛及相關設施遭資安攻擊的機率會持續增加、91%的廠商認為OEM和供應商在資安管理方面需要更密切地合作、89%的OEM廠同意更加成熟的資安管理將帶來明顯的競爭優勢、50%的OEM及供應鏈廠商已經取得正式或半正式資安認證。
此外,根據調查,在車輛生命週期中,受資安威脅比率最高的部分落在產品製造與更新環節上。
PwC執行董事張晉。PwC
對此,MIH電動車聯盟Security & OTA工作小組技術發展顧問呂柏寬博士也表示,目前相關的安全規範已有在2021年發布ISO/SAE 21434,為歐盟要求汽車製造商及零組件供應商必須依循的標準之外,聯合國歐洲經濟委員會也頒布ECE WP.29、R155、R156等有關車輛網路安全和軟體更新的新法規。
而MIH電動車聯盟Security & OTA工作小組除了以上述規範作為依歸,研究重點有著重在從源頭供應商管理、車輛安全解決方案、用戶數據資料保護等三大項,已建立與研究車輛安全架構(Security Freamworks)。
工作小組將去中心化身分(Decentralized Identification;DID)列為重點,不僅加密車主資料,也同步研究Web3.0、非同質化代幣(NFT)等新興科技,以及如何將其與資安、使用者習慣結合。也就是說,相比3C產品上的資料被蘋果(Apple)、Google等大廠掌控,未來汽車的資料將回到使用者手上,而非進到車廠手中。
呂柏寬指出,MIH希望透過產業各處的力量,幫助車主可以天衣無縫地維護車載資安,甚至可以維持在出廠時的最佳狀態。雖然現在已經有許多電動車、自駕車被駭客入侵或綁架的Demo Case,但大眾更不該掉以輕心,因為這樣的情節在SDV時代發生的可能性相當高。
呂柏寬表示,由於汽車本身的安全是透過各種解決方案實現,而電動車可謂小型的移動資料中心,因此在資安方面須導入更佳妥適的技術。呂柏寬表示,MIH工作小組目前也與夥伴合作研發車用入侵偵測及預防系統(Intrusion Detection and Prevention Systems;IDPS),以利控管及異常監控車輛元件。同時也配合遠端的車輛安全營運中心(Vehicle Security Operation Center;VSOC)及空中更新(OTA)技術,若汽車真的遭到駭客入侵,且問題無法在汽車端就化解時,系統便會告知雲端VSOC,再透過OTA將障礙排除。
MIH電動車聯盟Security & OTA工作小組技術發展顧問呂柏寬博士。PwC
留言 0