(更新2021/1/12) 聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日頒布了有關車輛網絡安全和軟體更新的兩項新ECE法規,並於2021年1月份,正式生效。
隨著車輛系統的高度發展,汽車產業正歷經了數位化的變革。如今,一輛汽車包含多達150個電子控制單元(ECU)和大約1億行的軟體代碼,而這個數字將在2030年再成長3倍。
在汽車產業急速向數位化發展的同時,相關的資訊安全風險也隨之增加。駭客的攻擊可能導致嚴重的安全漏洞,這不僅威脅到車輛的運作安全,同時也危及消費者的個人隱私。以騰訊科恩實驗室成功入侵特斯拉系統為例,這起事件揭示了汽車產業在資訊安全方面迫切需要加強的現實。
這類駭客攻擊的案例不在少數,例如,曾有駭客透過無線網絡接管汽車的控制系統,進行遙控駕駛,這不僅驚動了汽車製造商,也引起了消費者的廣泛關注。類似的攻擊證明了保護汽車免受數位威脅已成為一個迫切需求。
R155, R156 所涵蓋的四大主題
有鑑於汽車的資訊安全風險,聯合國歐洲經濟委員會(UNECE)的世界車輛法規協調論壇(WP29)在2020年6月24日通過了兩個ECE法規要求,分別是R155及R156,這兩個法規要求已經於2021年1月份,正式生效。這兩項法規將涵蓋以下4個主題,分別為:
- R155: 管理車輛的資訊風險(或稱「網絡風險」,原文為Cyber Rik)
- R155: 透過設計來減輕在價值鏈中的風險,以確保車輛的安全
- R155: 偵測並回應整個車隊的安全事件
- R156: 針對「空中升級」(OTA updates),提供安全及保全(safe and secure)的軟體更新,並確保不損害到車輛安全(Safe)
R155的詳細介紹,請參考筆者的《什麼是 UN R155?》
額外補充: OTA updates 一般所謂的OTA updates,指的是Over-The-Air updates,即空中升級的意思。車輛的空中升級,一般可以分為兩類,分別是: 1) 空中軟體升級(Software Over-the-Air, SOTA) 2) 空中韌體升級(Firmware Over-the-Air, FOTA) 常見的導航圖資更新、媒體應用系統更新等皆屬於空中軟體升級的範圍,相對來說,空中韌體升級則是能夠針對電子控制單元(ECU)進行升級,由於ECU的改動可能導致或造成車輛安全或網絡安全的風險,因此在技術上非常具有挑戰性。
額外補充:各國對於新法規的反應與動向 由世界車輛法規協調論壇(WP29)所頒布的兩項法規,將於2021年1月份,正式生效,目前主要反應的國家: 1. 日本:當法規生效後,計畫採用這些規定 2. 南韓:採取循序漸進的方式,在2020年下半年將《網絡安全法規》的規定納入了一項國家指南,並在第二步著手實施該法規 3. 歐盟:新的《網絡安全法規》將從2022年7月起對所有新車型強制實施,並將對2024年7月起對所有新生產的車輛強制實施
額外備註:歐盟法規的參照
歐盟於2020年1月發布了《一般安全條例》(Regulation (EU) 2019/2144),原文提到:
(26) The connectivity and automation of vehicles increase the possibility for unauthorised remote access to in-vehicle data and the illegal modification of software over the air. In order to take into account such risks, UN Regulations or other regulatory acts on cyber security should be applied on a mandatory basis as soon as possible after their entry into force.
根據該指令,歐盟已宣布計劃引入EU的安全相關法規,以便從2022年7月開始對所有"新車型"強制執行,並在2024年7月之後針對所有“首次註冊”車輛的強制性要求。
