汽車製造供應鏈資安發展趨勢
Trends in Cybersecurity for the Automotive Manufacturing Supply Chain
- 2023/08/15
- 1214
- 48
近年來由於自動駕駛、連網汽車、電動車和共乘服務等ACES趨勢的興起,已經徹底改變汽車產業。特別是汽車價值創造模式的改變,根據麥肯錫研究顯示當今汽車系統軟體程式碼已達一百萬行,一舉超過Boeing787、Mac OS、Facebook等大型軟體平台。產業專家更預測汽車價值鏈將有60%來自軟體+內容服務。追蹤2022年汽車產業的攻擊事件,我們發現汽車行業已成為駭客攻擊的誘人目標(如:Autoliv、Maxion Wheels、Sentec、NIO等)。回顧2022汽車產業重大資安事故,多數來自於生產時的IT/OT環境。本研究專注於汽車產業的三個關鍵問題,並提出我們的觀點,包含:為什麼汽車製造商容易受到駭客攻擊? WP.29 R155法規和ISO標準對汽車生產製造的資安意義為何?如何實現標準的最佳實務?
【內容大鋼】
-
一、汽車產業的資通安全挑戰
- (一)快速數位化轉型
- (二)不斷擴大的攻擊表面
- (三)未即時執行安全更新的設備和系統
- (四)複雜的汽車供應鏈生態系統
-
二、汽車製造業的潛在資安威脅情境
- (一)汽車製造商
- (二)汽車共享和服務業者
-
三、國際法規和標準加速了汽車製造資安發展
- (一)日本汽車產業開始重視汽車製造業資安
- (二)聯合國歐洲經濟委員會(UNECE)訂定國際汽車資安法規
- (三)ISO/SAE 21434為UNECE WP.29 R155提供良好的指引
-
四、運用ISO/SAE 21434確保汽車生產中的資安
- (一)使用TARA協助識別資安強化優先序
- (二)運用Auto-ISAC主動掌握最新情資
- (三)加強即時偵測和回應安全事件
- (四)提供安全的資產更新
- (五)對生產環境資安控制措施
- (六)管理車輛供應商的資安風險
- IEKView
【圖表大綱】
- 圖1、汽車產業的典範移轉
- 圖2、2020-2022年汽車製造業發生的資安事件
- 表1、與「生產工具或設備」相關的威脅情境
- 表2、與「人員意外行為」相關的威脅情境
- 表3、與「第三方引起的風險」相關的威脅情境
- 圖3、國際法規和資安防護的需求的關聯
- 圖4、風險管理角度:ISO/SAE 21434和R155 CSMS之間的關係