在接受《Automotive IQ》独家采访时,福特汽车公司汽车和移动网络安全高级顾问Darren Shelcusky深入探讨了符合UNECE R155/R156法规的关键因素,揭示了汽车行业满足这些严格法规的过程。从区分网络安全标准和法规到详细说明其对主机厂和更广泛的汽车网络安全领域的影响,Darren提供了综合指南。阅读这篇访谈,您将了解随着汽车网络安全的快速发展,符合UNECE R155/R156法规的主要挑战、必要的流程、指标以及更广泛的影响。
让我们来学习Darren分享的关于如何符合UNECE R155/R156法规中复杂场景的见解吧!
Darren:
首先,需要了解网络安全标准和法规之间的区别。
标准通常是由SAE等权威机构控制下的行业成员设计的参考文档。对于车辆,网络安全标准ISO/SAE 21434提出了一个将网络安全工程纳入车辆的框架。另一方面,法规是由政府机构发布的具有法律约束力的指令。联合国欧洲经济委员会(UNECE)发布了WP.29 R155法规,该法规深受ISO/SAE 21434标准的影响。
R155要求主机厂向授权的第三方审计机构证明,他们的车辆软件和联网生态系统在开发期间和后期生产都实施了严格的网络安全措施。未能证明良好的网络安全状况将对主机厂造成影响,因为他们将无法在UNECE 监管的市场上销售车辆,直到他们修复了网络安全漏洞为止。
请注意,ISO/SAE 21434标准侧重于车辆的电气和电子系统,仅针对车载软件和系统。其他相关标准适用于非车载系统,如云和远程信息处理。主机厂还应参考ISO 27001作为建立网络安全管理实践的基础,以满足UNECE R155对车辆可能依赖的网络相关非车载系统的要求。简而言之,UNECE R155提供了监管框架,而这些标准可以帮助组织实施和满足法规中概述的网络安全要求。
Darren:
明确定义与您的CSMS和型式批准相关的网络内容是至关重要的。R155要求实施网络安全管理系统(Cyber Security Management Systems, 简称CSMS)来管理网络安全风险。这包括在整个车辆生命周期(包括车辆和联网服务)中识别、评估和降低风险的策略、流程和实践。
这不仅包括车载软件,还包括任何可以远程更改或查询车辆状态的软件。与网络相关的外部事物包括但不限于制造供应链、服务工具、OTA软件更新、后端服务和API、电动汽车充电基础设施、客户带来的设备(如手机)和数字助理。
Darren:
从最佳实践和工程实践向证明合规性的文档化和可审计的流程和证据的转移,可以为工程团队引入额外的工作产品。
a. 网络安全监控
b. 网络安全事件评估
c. 漏洞分析
d. 漏洞管理
Darren:
TARA风险完成率:
与网络相关的车辆及其组件必须完成威胁分析和风险评估(TARA),这是工程过程的一部分。记录和跟踪一系列风险,从而管理车辆和联网生态系统的网络安全设计和测试。
网络安全测试完成率:
测试用于验证车辆、组件和联网生态系统是否满足网络安全要求。可能涉及第三方测试(例如,渗透测试)。
事件响应完成时间:
跟踪针对网络安全事件的事件响应行动,减轻网络安全事件的后果。根据事件的严重程度,也可能需要及时向有关当局报告。
Darren:
R155/R156法规要求主机厂具备如下四个不同领域的能力:
主机厂必须建立作为其CSMS一部分的流程包括但不限于:
Darren:
主机厂必须证明,他们有一个流程和相应的证据来识别、管理和降低整个车辆生命周期和特定车型的网络安全风险。
网络安全测试(如功能测试、接口测试、渗透测试、模糊测试和漏洞扫描)用于提供产品合规性的证据。VSOC检测恶意活动的证明为检测车辆和联网生态系统中的网络事件提供了证据。
车辆安全运营中心(Vehicle Security Operations Center, 简称VSOC)可以实时了解和洞察车辆和联网生态系统异常的行为、安全事故、事件和条件,并作出响应以缓解检测到的任何威胁。
Darren:
R155/R156是一个复杂的法规,理解其中所有的要求非常困难。这可能导致产生不符合法规要求的流程和证据。记录流程是一项耗时且困难的任务。一旦流程被记录下来,它们就需要被实施,这可能需要对现有的工作流程和实践进行更改。您还需要编写程序让员工来遵循并对员工进行培训,使他们能够正确地理解和遵循这些程序。您还需要监控您的流程,确保它们是有效的,并对它们进行审核,以确保它们符合您的CSMS和R155法规。
Darren:
汽车网络安全是不断发展的,并不是静态的。主机厂现在必须在车辆的整个生命周期内解决网络安全问题,而不仅仅是关注车辆生命周期的开发部分。汽车网络安全包含多个维度,其中包括联网生态系统、供应商和车辆生命周期,因为漏洞可能从汽车生态系统的许多不同部分被引入。随着汽车行业朝着软件定义汽车和自动驾驶汽车的方向发展,这一点变得越来越重要。
“原创内容,转载请标明出处”