【公益译文】2023全球汽车网络安全报告（三）

阅读： 3,963

推荐阅读：【公益译文】2023年全球汽车网络安全报告（一）

【公益译文】2023年全球汽车网络安全报告（二）

05. 合规性检查

在智能出行生态系统中建立信任

实施UNECE WP.29 R155和ISO/SAE 21434

为统一网络威胁防护方法，许多汽车OEM厂商及其供应商开始采用WP.29 R155管理网络安全管理系统（CSMS）和型式认证、WP.29 R156管理软件更新管理系统（SUMS）以及ISO/SAE 21434标准管理道路车辆-网络安全。2022年，美国国家公路交通安全管理局（NHTSA）修订了其发布的行业领导者最佳实践指南。这是欧盟网络安全局（ENISA）及其成员贸易协会Auto ISAC在过去几年中发布的一系列指南中的最新版本。

需要注意的是，R155和ISO/SAE 21434都没有提供具体的解决方案和确切流程，而是强调实施高标准网络安全分析的重要性。这些指南概述了流程，明确了风险分析和响应目标，要求在从开发、生产到后续阶段的全周期内考虑网络安全威胁和漏洞。

UNECE WP.29概述

WP.29法规的主要组成部分

WP.29法规适用的车辆类型

车辆根据分类分别受R155、R156或两者的监管。

监管对智能出行生态系统的影响

这些法规、标准和指南旨在提高网络安全水平，为客户带来更好的安全保障，同时确立全行业统一的术语、指南、目标和范围。制造商需要灵活实施创新的网络安全方法并不断改进。ISO/SAE 21434以ISO 26262道路车辆—功能安全标准为基础，要求汽车OEM厂商和供应商在车辆的整个生命周期中实施网络安全。该标准强调采用“安全始于团队”的思维，并为产品开发和生产的每一环节以及后续阶段制定了工程要求。

R155要求OEM厂商在车辆生命周期的各个阶段实施、维护威胁分析与风险评估（TARA）。他们还须与自己的一、二级供应商共同制定针对未来攻击的处理和防护流程。该法规适用于OEM厂商，但因为CSMS包括整个价值链，所以也适用于供应商。R155适用于在参加1958年UNECE交通协议和公约的54个国家运营的OEM厂商。

按照R155，OEM厂商和供应商能够更准确地识别、更有效地应对与新兴车辆架构、出行服务和网联车辆生态系统相关的安全风险。这些威胁主要存在于：

• 与行驶车辆相关的后端服务器

• 车辆的通信方式

• 车辆的更新程序

• 可能导致网络攻击人类的“无心之失 ”

• 车辆的外部连接和链路

• 车辆数据/代码

R155法规在汽车网络安全的实用方法以及整体方法上独有独特性。在实用性上，给出了威胁的具体事例以及具体的缓解措施；在整体性上，提供了流程和治理方法以及IT、产品、OT和物联网视角。

该法规明确强调了“流程”一词，目的是为网络安全架构提供指导，而不涉及具体的技术规范。当今的汽车网络环境多样且动态，僵化的技术措施只会起到反作用。该法规遵循技术中立原则，旨在给予OEM厂商一定的灵活性来确定自己的网络安全措施。

2022年，全球OEM厂商都采用了正确的决策方向。UNECE 法规以及ISO/SAE 21434标准已达到临界规模，正在改变世界各地的业务运营。OEM厂商与供应商和网络安全公司密切合作，支持行业合规和认证工作，建立健全的网络安全治理架构和测试流程。

为了促进OEM厂商和供应商之间的合作，欧洲汽车制造商协会（ACEA）和欧洲汽车供应商协会（CLEPA）于2022年10月与Auto-ISAC联手，创建了一个欧洲汽车网络安全中央信息共享中心。

与ISO/SAE 21434建立长期信任

WP.29法规和ISO/SAE 21434标准的一个关键区别在于，后者为OEM厂商及其供应商提供了计算资产风险的完整流程，并提出了评分和确定漏洞修复优先级的建议方法。该标准提供了一个结构化的网络安全框架，将网络安全视为车辆整个生命周期（从概念阶段到停用）中不可或缺的一个工程组件。

此外，根据ISO/SAE 21434标准和R155 CSMS要求，OEM厂商应在车辆下线后维护vSOC，进行长达10多年的持续监控。

2022年发现了151个新CVE漏洞，利益相关者必须持续评审和实施防护技术，防止自己的产品中存在已知漏洞和未来可能出现的未知漏洞。

ISO/SAE 21434和WP.29携手合作，为全球范围内的车辆提供保护。

R155与实际威胁是否一致？

Upstream公司的研究团队分析了2022年发生的公开报道的汽车网络事件，将它们与R155附录5中列出的七种威胁进行关联。按R155威胁与漏洞分类统计的2022年发生的网络事件：

监管格局发生变化

随着智能出行生态系统的发展和新应用程序及服务的推出，立法者和监管机构也在考虑制定新法规的紧迫性。2021年8月，拜登总统签署了一项行政令，设定了一个雄心勃勃的目标：到2030年，美国的电动汽车销售份额将达到50%。2022年，拜登政府通过《两党基础设施法》为电动汽车充电设施提供了75亿美元资金，目标是建立有史以来第一个包括50万个电动汽车充电桩的全国性网络。

2022年，欧盟立法者和加州监管机构在“零排放”上更进一步，批准自2035年开始禁止生产化石燃料汽车。

世界各国政府均在推动这一转型，再加上软件定义汽车的快速增长，立法者和监管机构逐步意识到汽车、基础设施和消费者隐私面临的网络安全风险，开始制定新法规加以应对，包括自动驾驶汽车法规。

2022年3月，中国工业和信息化部发布了《车联网网络安全和数据安全标准体系建设指南》,强调要加强网联汽车和智能出行的标准和技术要求，为保护中国车联网网络提供了路线图。

鉴于自动驾驶的迅速普及和V2X风险的不断增长，该指南为2023年和2025年设定了具体的监管目标。

在美国，加州公共事业委员会（CPUC）为通用汽车公司的Cruise子公司授予了无人驾驶部署许可证，并于2022年6月在旧金山正式开始向无人驾驶出租车收费。该许可证对最高速度、运营时间和特定区域进行了限制，将交通频繁的重型铁路道口和有轻轨交通的街道排除在外。

在日本，国家警察厅（NPA）宣布了一项计划，将于2023年4月将4级自动驾驶纳入交通法。立法框架于2022年4月确立，当时日本政府通过了一项法案，为下一代出行引入了新规则。

修改后的交通法将允许无人驾驶汽车在全国各地的公共道路上行驶，只要各县公共安全委员会允许。当然，这需要满足一些条件，如采用远程监控、位置验证和网络攻击防护措施等。

“维修权”法规也在不断演变，可能会引入新的安全和网络安全风险。2022年2月，美国立法机构提出了两项不同的“维修权”法案。《2022年维修自由法案》（H.R.6566）和《汽车行业公平和专业维修权法案》（H.R.6570）旨在确保消费者能够在独立网点维修车辆、电子设备和农用设备。在过去12个月里，这两项法案都没有取得其他进展。

在缅因州，独立汽车修理厂老板和员工等人组成联盟，开始为全州公投收集签名，目的是在2023年11月为此进行投票。他们要求汽车制造商向缅因州的独立修理店提供无线维修和诊断信息。

该倡议与马萨诸塞州选民2020年投票通过的一项倡议类似，后者将车辆数据的访问权限开放给独立修理店，以应对日益复杂的汽车技术。目前，就马萨诸塞州的这项法律，OEM厂商向联邦法院提出异议，企图阻止其实施。

2022年10月，通用汽车向联邦法官表示公司无法遵守这项法律，因为该法律带来了安全和网络安全风险，设定了一个无法达成的时间表，还与一些联邦法律相冲突。为了避免违法，斯巴鲁和起亚禁用了在马萨诸塞州注册的新车的远程通信系统和相关功能。

在澳大利亚，新的《机动车信息计划（MVIS）》于2022年7月1日生效，要求OEM厂商向独立修理店提供服务和维修信息，相关价格不得超过公平市场价值。

道路安�