i卡會員

近年來由於自動駕駛、連網汽車、電動車和共乘服務等ACES趨勢的興起，已經徹底改變汽車產業。特別是汽車價值創造模式的改變，根據麥肯錫研究顯示當今汽車系統軟體程式碼已達一百萬行，一舉超過Boeing787、Mac OS、Facebook等大型軟體平台。產業專家更預測汽車價值鏈將有60%來自軟體+內容服務。追蹤2022年汽車產業的攻擊事件，我們發現汽車行業已成為駭客攻擊的誘人目標(如：Autoliv、Maxion Wheels、Sentec、NIO等)。回顧2022汽車產業重大資安事故，多數來自於生產時的IT/OT環境。本研究專注於汽車產業的三個關鍵問題，並提出我們的觀點，包含：為什麼汽車製造商容易受到駭客攻擊? WP.29 R155法規和ISO標準對汽車生產製造的資安意義為何?如何實現標準的最佳實務?

【內容大鋼】

• 一、汽車產業的資通安全挑戰
  • (一)快速數位化轉型
  • (二)不斷擴大的攻擊表面
  • (三)未即時執行安全更新的設備和系統
  • (四)複雜的汽車供應鏈生態系統
• 二、汽車製造業的潛在資安威脅情境
  • (一)汽車製造商
  • (二)汽車共享和服務業者
• 三、國際法規和標準加速了汽車製造資安發展
  • (一)日本汽車產業開始重視汽車製造業資安
  • (二)聯合國歐洲經濟委員會(UNECE)訂定國際汽車資安法規
  • (三)ISO/SAE 21434為UNECE WP.29 R155提供良好的指引
• 四、運用ISO/SAE 21434確保汽車生產中的資安
  • (一)使用TARA協助識別資安強化優先序
  • (二)運用Auto-ISAC主動掌握最新情資
  • (三)加強即時偵測和回應安全事件
  • (四)提供安全的資產更新
  • (五)對生產環境資安控制措施
  • (六)管理車輛供應商的資安風險
• IEKView

【圖表大綱】

• 圖1、汽車產業的典範移轉
• 圖2、2020-2022年汽車製造業發生的資安事件
• 表1、與「生產工具或設備」相關的威脅情境
• 表2、與「人員意外行為」相關的威脅情境
• 表3、與「第三方引起的風險」相關的威脅情境
• 圖3、國際法規和資安防護的需求的關聯
• 圖4、風險管理角度：ISO/SAE 21434和R155 CSMS之間的關係