隨著國際機構進入網絡安全領域,制定法規(guī)、標準和指南,公眾在其使用的車輛中享受更好的網絡安全保護指日可待。隨著時間的推移,車輛網絡安全將不斷發(fā)展以應對不斷變化的網絡威脅。
歐洲經濟委員會 (ECE) 的 R155 和 R156 法規(guī)旨在應對聯網車輛面臨的日益增長的網絡安全威脅。這些法規(guī)為聯合國歐洲經濟委員會 (UNECE) 區(qū)域內銷售的所有車輛設定了最低的網絡安全標準,旨在提高聯網汽車的網絡安全,該區(qū)域涵蓋 64 個國家。
該法規(guī)于 2021 年 3 月 1 日發(fā)布,并于 2022 年 7 月 1 日起對所有在歐盟經濟區(qū) (EEA) 上市的新車型強制實施。
R155/R156 涵蓋哪些內容?
R155:?設置了車輛網絡安全管理系統 (CSMS) 的一般要求。要求車輛制造商建立一個網絡安全管理系統 (CSMS),以識別、評估和降低車輛網絡安全風險。
CSMS 必須包括以下要素:
1. 安全策略和目標:車輛制造商必須制定書面安全策略和目標,明確其網絡安全責任和目標
2.風險管理過程:車輛制造商必須建立一個風險管理過程,以識別、評估和降低車輛網絡安全風險。該過程應包括以下步驟:
風險識別:識別車輛中可能存在的網絡安全風險。風險評估:評估風險的嚴重性和發(fā)生可能性。風險降低:采取措施降低風險。
3. 安全開發(fā)生命周期:車輛制造商必須將網絡安全考慮因素納入車輛的整個開發(fā)生命周期。該過程應包括以下步驟:
需求分析:在需求分析階段識別網絡安全需求。
設計:在設計階段考慮網絡安全。
開發(fā):在開發(fā)階段實施網絡安全措施。
測試:在測試階段測試網絡安全措施。
4 安全運維:車輛制造商必須制定安全運維計劃,以確保車輛的網絡安全在整個生命周期內得到維護。該計劃應包括以下內容:
- 安全更新:及時發(fā)布安全更新,修復已知漏洞。安全培訓:為車輛所有者和用戶提供安全培訓。安全事件響應:制定安全事件響應計劃,以應對網絡安全事件。
R156:?聯合國法規(guī)第 156 號是聯合國制定的一項法規(guī),專門處理車輛的軟件更新和軟件更新管理系統。該法規(guī)于 2021 年頒布,旨在提高車輛軟件更新的安全性、可靠性和穩(wěn)定性,同時確保制造商擁有一個健全的流程來管理更新過程。
目標:提高車輛軟件更新的安全性和可靠性。降低與軟件更新相關的網絡攻擊和其他漏洞風險。確保制造商在整個車輛生命周期內擁有一個結構化的軟件更新管理方法。
范圍:涵蓋所有軟件更新,包括通過空中下載 (OTA) 和傳統方式提供的更新。適用于車輛的所有電子控制單元 (ECU) 和軟件組件。
要求:制造商必須建立一個?軟件更新管理系統 (SUMS)?來監(jiān)督更新過程。SUMS 必須包含風險評估、漏洞識別、更新測試和部署等程序。制造商必須實施安全措施,以防止未經授權的訪問和篡改軟件更新。他們還必須向車主提供有關軟件更新的清晰透明的信息,包括潛在的風險和好處。
UN 法規(guī)第 156 號的影響:
增強安全性:?該法規(guī)預計將導致更安全的軟件更新和更好的網絡攻擊防護。
提高可靠性:?強大的更新管理程序應該可以減少更新失敗和其他軟件問題。
增加透明度:?車主將獲得更多有關軟件更新的信息,并能夠做出是否安裝更新的明智決定。
R155/R156 的主要優(yōu)勢:增強車輛安全性:?降低網絡攻擊風險,防止攻擊者入侵車輛系統并危及駕駛員和乘客安全。標準化方法:?為 UNECE 區(qū)域內的所有汽車制造商創(chuàng)造公平競爭環(huán)境,促進公平競爭和創(chuàng)新。增強消費者信心:?讓消費者對車輛的安全性更有信心。
實施時間表:R155 于 2022 年 7 月 1 日對 UNECE 區(qū)域內所有新車型生效。R156 將于 2024 年 7 月 1 日對 UNECE 區(qū)域內所有新車型生效。
挑戰(zhàn)和機遇:實施 R155/R156 對汽車制造商而言存在挑戰(zhàn),需要投資網絡安全專業(yè)知識和基礎設施。然而,它也帶來了開發(fā)創(chuàng)新和安全聯網車輛技術的機遇。R155/R156 是提高聯網車輛網絡安全的重要舉措。通過設定最低標準和推廣最佳實踐,這些法規(guī)將有助于使我們的道路更加安全。