背景 Background
随着汽车新四化(电动化、智能化、网联化、共享化)政策的提出,大数据和人工智能等技术的发展,以及软件驱动汽车、舱驾一体、行泊一体等新型架构概念的提出,车内外智能传感器采集的大量数据(包括驾驶员,乘客,车外道路交通环境等)通过通信网络(比如5G蜂窝移动)实时与外部世界互联互通,汽车已经从传统的交通工具转变为可移动的智能终端并承载各类创新应用场景,但是与此同时也增加了被网络黑客攻击的概率。根据Upstream2022年的车辆网络安全报告,全球联网汽车将从2018年的3.3亿辆增长134%,到2023年将达到7.75亿辆,而仅2021年的网络安全事故数量就比2018年增加了225%以上。根据Upstream发布的《2023上半年汽车领域网络趋势报告》,2023年上半年,汽车领域的数据泄露事件占安全事件总量的37%。这些数据泄露事件对原始设备制造商和消费者都带来了巨大风险,包括客户数据隐私泄露、知识产权被盗、车辆安全和盗窃,以及品牌声誉和信任受损。而根据Upstream 最新发布的《2024年全球汽车网络安全报告》,预计未来车辆网络安全的需求将面临以下几个关键趋势和挑战:
- 大规模和有组织的攻击增加:报告指出,汽车网络安全已到达一个转折点,面临大规模、有组织的攻击。这些攻击对安全和运营的影响日益增大,威胁行为者的动机已从早期的实验性黑客攻击转向对移动资产造成大规模影响。
- 远程攻击的增加:2023年,95%的攻击是远程执行的,攻击者越来越多地利用远程技术来攻击车辆系统。
- 深网和暗网活动的增加:与汽车和智能移动生态系统相关的深度和暗网活动增加了165%,近65%的这些网络活动潜在影响着数千至数百万辆移动资产。
- 对娱乐信息系统的攻击增加:2023年,对娱乐信息系统的攻击几乎翻了一番,占所有攻击的15%,这表明攻击者正在寻找新的攻击途径。
- 生成性AI的影响:生成性AI将引入新的大规模攻击方法,但也为利益相关者提供了先进的检测、调查和缓解能力。这表明,随着AI技术的发展,它将对汽车网络安全产生深远影响。
R155法规
为了应对上述风险,联合国世界车辆法规协调论坛(UN_ECE-WP.29)作为专注于汽车法律法规制定的一个组织,发布了关于车辆网络安全的R155及关于软件更新和软件更新管理系统的R156,以及关于自动车道保持系统型式认证的R157的三个法规。这些法规旨在提高车辆网络安全,确保车辆制造商构建有效的网络安全管理体系,并满足相应的网络安全要求。它们也标志着车辆网络安全治理的国际法规的正式确立,适用于加入《1958年协定书》的缔约国。(图1)
图1 WP.29法规的发布(来源:unece.org)
R155在网络安全方面基本涵盖了乘用车和商用车的适用范围,适用于M类车型、N类车型、至少装备了一个ECU的O类车型(图2)、具备L3级及以上自动驾驶功能的L6和L7类车型。
图2 R155适用车型种类
这里详细介绍下《1958年协定书》里面有关VTA,即Type Approval的要求。首先,任何加入1958协定的国家都有权测试和批准任何制造商对受管制产品的设计,无论该组件是哪个国家生产的。任何1958年协定的缔约国授予型式认证(VTA),所有其他成员国都认可该型式认证,即车辆可以合法的进口销售和使用。截止至2021年1月22日,UNECE 1958年协议的缔约国已增加至56个,其中包括所有欧盟国家、澳大利亚、日本、韩国、新西兰和南非等国家。大多数国家,即使没有正式加入1958协定,也承认联合国法规,即可以在本国要求中反应法规内容,亦可以允许进口、注册和适用联合国型式批准的车辆。例外的是,美国和加拿大(除照明法规外)不认可联合国其他法规,车辆进口必需通过这两个地区自己的汽车相关法规。另外中国并不在《1958年协议书》缔约国中,因此中国生产的汽车如果想要销售到这些国家中必须通过相关认证,这也是目前行业热议的“汽车出海”。
对OEM而言,自2022年7月起,UNECE成员国内对所有现有架构新车型进行强制实施R155(所有适用的新车型出口欧洲均需通过型式认证),自2024年7月开始所有架构所有车型都需通过认证。
车辆制造商要有效执行UN R155的合规要求,首先需要建立全面的网络安全管理体系,即Cybersecurity Management System (CSMS),以确保汽车全生命周期中都有对应的流程措施用以控制相关风险。其次车辆网络安全型式认证(Vehicle Type Approval, VTA)需要针对OEM在网络安全开发中的具体工作执行情况进行审查,确保车辆的网络安全防护技术能覆盖全生命周期的安全要求,并保证所实施的网络安全防护方案能够有效应对车辆的网络安全风险。因此只有OEM在特定车型研发及量产项目上充分证明其认证体系中涵盖的流程能够充分且有效运行之后,才具备申请特定车型型式认证的资格。
如何构建CSMS
R155法规的全称是全称为"Uniform provisions concerning the approval of vehicles with regard to their cybersecurity",翻译成中文是《关于车辆网络安全与网络安全管理体系型式认定的统一规定》,其中有关网络安全管理体系的要求纲要如下:
章节 |
内容 |
7.2.2.1 |
证明网络安全管理覆盖到车辆完整的生命周期 |
7.2.2.2(a) |
证明组织内部用于管理网络安全的流程 |
7.2.2.2(b)(c) |
证明制定威胁分析和风险评估的流程 |
7.2.2.2(d) |
证明用于验证已识别风险得到适当管理的流程 |
7.2.2.2(e) |
证明用于测试车型的网络安全的过程 |
7.2.2.2(f)(g)(h) |
证明制定网络安全持续监控活动的流程 |
7.2.2.3 |
证明对于网络安全威胁和漏洞在一个合理的时间内及时处理 |
7.2.2.4 |
证明网络信息的持续监控 |
7.2.2.5 |
证明网络安全管理系统将如何管理与合同供应商、服务提供商或制造商子组织之间可能存在的依赖关系 |
7.3 |
对整车车型的要求 |
Annex 5 |
威胁和应对措施列表,供自查是否完备 |
UNECE WP.29关于CSMS的R155条例可以帮助OEM和供应商更好地理解、应对网络安全风险,它侧重于车辆生命周期中的开发、生产和后生产阶段的网络安全监管。
该条例规定汽车组织必须具备从车辆数据和车辆日志中分析和检测网络威胁、漏洞和网络攻击的能力,这种能力应尊重车主或司机的隐私权。它还强调要考虑到一些设计测试,例如检测并防止未经授权的访问,保护系统免受嵌入式病毒和恶意软件侵害,检测恶意内部信息或活动等。此外,该条例还呼吁利益相关方在网络安全协议中充分考虑入侵检测系统(IDS)和运行时的保护措施。
由于R155里给出的是对CSMS比较宽泛的要求,一些具体的网络安全流程要求比如脆弱性分析和漏洞管理需要参考ISO 21434。有关ISO21434咨询详见www.munik.com/ productinfo/2471078.html.
VTA
关于车辆类型批准(Vehicle Type Approval, VTA),R155的要求包括:
1. 车辆网络安全评估:车辆制造商必须对车辆的网络安全进行全面的评估,这包括网络安全系统架构设计,对象,分析方法,需求及其验证等。
2. CSMS符合性评估:车辆制造商必须建立和维护一个有效的网络安全管理体系,以支持车辆网络安全的设计、开发、生产和维护。
3. 网络安全文档:车辆制造商需要准备和保持一系列的文档,这些文档详细说明车辆的网络安全特性,包括风险评估报告、安全措施的实施记录等。
4. 型式批准测试:车辆必须通过一系列的型式批准测试,以证明其符合R155的网络安全要求。这些测试可能包括对车辆系统的网络安全性能的评估。
5. 持续监督:获得型式批准的车辆需要接受持续的监督,以确保网络安全要求得到持续满足。
6. 网络安全事件的报告:车辆制造商必须及时向相关监管机构报告所有网络安全相关的事件。
7. 合规性证明:车辆制造商需要向监管机构提供合规性证明,这可能包括第三方认证机构的评估报告。
总结
时间转眼进入2024年7月,正是多年前听网络安全培训的老师提及的R155的全面正式生效日期,于是有感而发,写下这篇简单的科普文章。后续会介绍R156法规的基本情况,敬请期待。
需要注意的是,R155的规定是动态的,随着网络安全威胁的发展和技术的进步,这些要求可能会不断更新。因此,车辆制造商需要持续关注最新的法规动态,并确保其车辆网络安全实践与最新的要求保持一致。
