最新消息


2021/07/16

資安浪潮席捲而來 汽車資安標準知多少

功能型手機轉變到智慧型手機,只經歷了數十年的時間,但智慧型手機在推出的5年內就達到50%以上的市占率,到現在超過90%以上的市占率,而新型態能源車在各國政府的政策推動下,依據2020年電動車與智慧車的出貨數字已占據全部車種的3%,可以看見汽車的生態圈已經逐步改變,­­而這些新型態汽車所配搭的電子零組件也逐步提高,在汽車產業的0 defect的要求,廠商從品質需求,提升到產品與功能安全,而很快的將會進入汽車網絡資訊安全。

 

軟體定義時代已來臨,遠距離的操作維修電腦已經不是新鮮事,對於汽車產業來說安全永遠是在首位,當汽車與軟體高度結合,對於汽車產業風險將會提高,因為理論上沒有絕對安全的軟體,汽車產業將面對從新的的風險,2020年底時COSIC研究人員針對某電動汽車大廠的無鑰匙漏洞進行破解,該研究團隊花費數百美元購買相關裝置,在數分鐘就破解其系統,因此新型態汽車會需要更多資訊安全、隱私安全的防護與需求。

 

聯合國歐洲經濟委員會(UNECE) 世界車輛法規協調論壇(WP.29),在20211月宣布R155R156規定,針對汽車車輛的資訊安全管控有完整的要求,並且有參考ISO /SAE 21434標準,在ISO/SAE 21434講述車輛生命週期必須遵循其網絡安全設計的流程,涵蓋車輛中的所有電子元件、系統、感測器與軟體,以及外部供應鏈。在R155,R156ISO/SAE 21434針對車輛資安的要求,其實互相呼應,汽車製造商和供應商必須證明,在整個設計流程中,相關供應鏈有導入網絡安全工程與網絡安全管理機制。

 

未來的電動車與自駕車會有更多的介面需要整合,系統整合的複雜性提升將提高與衍生新型態風險。成為後進者要踏入汽車產業的一大挑戰,TUV NORD在於汽車領域深耕已久,具備汽車領域認證的完整服務,提供教育訓練、差距分析、認證服務,使客戶可以了解國際車廠的要求並且達到要求,從汽車品質IATF 16949、汽車功能安全ISO 26262,汽車產業軟體流程改進與能力測定標準Automotive SPICE ,TISAX軟體到未來ISO 21434 TUV NORD都有完整的服務。更多訊息可以致TUV NORD 官網

 

汽車產業相關標準

 

*IATF 16949

IATF 16949 認證是進入汽車產業的供應商先決條件,標準的重點是系統和過程的持續改進,組織在開發和製造領域的最終產品品質。可協助企業在企業內有效的控管汽車產品管理流程。通過 IATF 16949 認證可達到國際車廠的必要要求,並可穩固市場地位。 

 

*ISO 26262

ISO 26262為車用功能安全的標準,在開發電子電氣產品功能安全,從產品概念階段開始、系統開發、硬體開發、軟體開發、生產運行和售後服務,以系統的方法,指導產品全生命週期的安全事項的實施。

 

*ASPICE

Automotive Software Process Improvement and Capability dEtermination(簡稱A-SPICE ASPICE)是汽車產業的軟體流程改進和能力測定標準,是車廠對供應商進行軟體開發過程評估的標準,由客戶需求開始進行分析、系統需求、系統架構、軟體需求與整體測試內容以及整體車用的專案管理來進行。

 

*TISAX

Trusted Information Security Assessment Exchange簡稱(TISAX).用於評估汽車產業公司資訊安全系統。目標為汽車製造過程和車輛運行期間數據內容保護和完整性以及可用性。

 

*ISO/SAE 21434

隨著各國相繼發展智慧車輛的相關標準,其中的車輛網絡安全已成為2020國際組織主要關注的議題,在國際組織中,3GPP( 3rd Generation Partnership Project,即第三代合作夥伴計劃)V2X(車聯網)的技術建立了資訊安全技術要求,以保證通信層面的安全。而致力於汽車安全標準的ISO( 國際標準化組織)SAE(Society of Automotive Engineers,即國際汽車工程師學會)組成聯合工作組,並在ISO/SAE TC22中起草了ISO/SAE 21434國際標準,旨在解決汽車產業的網絡安全問題。

ISO/SAE 21434的推出意味著OEM必須為連網汽車建立起網絡安全架構,在供應鏈中的所有供應商都遵循該標準。ISO/SAE 21434已經於2021/3/9進入FDIS(最終國際標準草案)版本,待審查完畢後,即將發布。

 

0716.png

 

 TUV NORD 提供汽車領域完整的驗證服務