接軌車輛網絡安全國際標準 降低資安風險

因應全球各大車廠與系統廠日趨嚴格的供應商資安管理要求，資誠智能風險管理諮詢有限公司與MIH開放電動車聯盟於2022年12月15日共同舉辦「電動車供應鏈資訊安全合規的機會與挑戰」研討會，邀集資誠智能風險管理諮詢有限公司執行董事張晉瑞、MIH開放電動車聯盟博士呂柏寬、台灣檢驗科技股份有限公司營運總監何星翰、以及資誠科技產業研究中心主任鄭雯隆，探討企業在全球車輛資安要求的趨勢下，如何因應國際客戶提升企業資訊安全成熟度，並做出即時的應變與妥善的準備。

接軌國際的車輛網絡安全標準

資誠智能風險管理諮詢有限公司執行董事張晉瑞表示，近幾年，隨著車輛科技的蓬勃發展，傳統汽車供應鏈也大幅擴張為包含後勤、基礎建設、科技、能源、運輸和保險的Mobility生態系，配合聯合國R155車輛資訊安全法規在歐盟、中、美、日、韓等汽車大國的逐步落地，整個Mobility生態系的廠商，已開始收到各大車廠對於供應商資訊安全管理和產品資訊安全強制性的要求，視不同車廠和供應商的特性，如TISAX、ISO 21434、ISO 27001、ASPICE等CSMS國際認證的取得，都成為車廠或系統廠合格供應商的必要條件。

除了國際法規的規範之外，PwC的《2022全球車載資安調查報告》指出，處於汽車價值鏈各個階段的公司現在都在採取積極行動投入CSMS的導入與建置，國際主要車廠均認為車輛及相關設施受到資安攻擊的情況將持續增加，成熟的資安管理將為企業帶來明顯的競爭優勢，如何滿足各大車廠與系統廠日趨嚴格的供應商資安管理要求，以及在各種不同資安標準中尋求合規與效益的平衡，將成為供應鏈廠商最迫切的課題。

張晉瑞進一步強調，選擇適切的車載資安國際標準，確保在車輛完整生命週期的各個階段均制定了網絡安全管理流程，並管理供應商、服務提供商或其子公司之間可能存在的依賴關係，才能掌握高漲的資安風險。

軟體定義車輛時代的來臨：建構開放式智慧型車電安全防護框架

MIH開放電動車聯盟技術發展顧問呂柏寬博士指出，網路安全已是不分國別、產業、組織規模，任何組織都會面臨的風險議題，而對於汽車業，在2021年聯合國提出了「 網路安全管理系統 」(R155, CSMS) 、「 軟體更新和軟體更新管理系統 」 (R156, SUMS)、及「 事件數據記錄儀驗證」(R160, EDR)等規範後，更有了全球共通的指引和方針。MIH因應上述規範，成立「資訊安全與OTA工作小組」，在「設計與認證」、「車用資安解決方案」、及「資料安全與隱私」三大面向定義車輛安全框架與API，將涵蓋供應商、車輛、RSU/V2X、充電站、雲端服務等價值鏈角色在各產品生命週期的安全要求，透過建立開放的車輛安全框架以對整個車輛生命週期實現無縫的網路安全，並透過去中心化身份識別碼強化隱私保護。

TISAX-國際車廠供應鏈資訊安全管理與認證

台灣檢驗科技股份有限公司營運總監何星翰分析，TISAX汽車安全評估訊息交換平台是由德國汽車工業協會(VDA)根據 ISO/IEC 27001 的標準規範所制訂並推出的資訊安全標準，已成為德系車廠對供應商要求的必要資安認證，其中包含了資訊安全、原型保護、和隱私保護三大控制要求面向，其中的控制要求又能組合成八種評鑑目標供受評組織選用，且不同於在台灣已發展成熟的ISO 27001，雖然TISAX在資訊安全的控制要求都是參考ISO 27001的控制項，但各項選用的控制要求必須經查核確認達到VDA規定的成熟度才能通過驗證，也因此驗證的流程較為複雜。另外由於TISAX對於驗證範圍的要求更為嚴格，因此需要參與導入與驗證稽核的部門通常也會需要包含業務、產品管理、產品開發、生產製造、與後勤支援等資訊部門以外的單位。何星翰提醒，有計畫取得TISAX驗證的企業，應該適當評估導入工作的複雜程度以及在導入與驗證階段可能需要花費的時間，以滿足客戶的相關要求。

汽車產業生態系變革下 未來出行服務模式探討

資誠科技產業研究中心主任鄭雯隆表示，2020年迄今，雖然COVID-19疫情衝擊汽車產業鏈的順暢供應，但根據資誠科技產業研究中心的研究顯示，長期而言，全球汽車產業為因應全球淨零碳排、安全法規要求，電動化、智慧化發展的趨勢，再加上車聯網的普及應用，使得汽車轉型為可持續升級的平臺，將孕育出多樣化的創新服務內容，並改變消費者未來出行的習慣。在汽車產業升級轉型的浪潮下，封閉的汽車產業鏈將揉合跨領域技術與應用服務業者成為新的產業生態體系，臺灣業者應掌握此波汽車產業轉型時間點，方有機會搶占市場先機。

鄭雯隆建議，汽車業者布局智慧電動車市場時，應思考數據的蒐集與應用如何成為業務新亮點，而低碳運輸環境下ESG導入與再生能源使用將是不可或缺的重要項目，而在資安風險受到各大車廠高度重視的情況下，獲得車載資安認證是進入汽車產業的入門票。