智慧應用 影音
未來車產業價值鏈平台
event

車用資安產學對接 企業應以「精準資安」為目標

汽車智慧化、連網化程度前高,車廠就得面對著更複雜的資安設計防護挑戰。李建樑

有鑒於連網車的普及使得汽車資訊安全風險急遽上升,以及歐盟針對車用資安規範於2022年7月開始進入強制實行階段,讓各車廠及其供應鏈對資安議題的重視拉至最高點。

針對聯網化趨勢帶來的資安衝擊,長期研究資安議題的中山大學工學院院長、中華民國資訊安全學會理事長范俊逸提出「精準資安」概念,建議企業可從理論、技術、法規、環境、成本、管理及效能等七大面向來進行資安需求檢驗及後續解決方案擬定。

為達到「基於安全的設計(Security by Design)」目標,企業及供應鏈皆得由下而上、從底層到應用端,去擬定完整的資安規範及流程。而在確實執行之前,范俊逸認為,其步驟應為:一、需求評估,二、訂定核心理論基礎,三、選擇符合需求的技術落地,四、成本及效能考量,五、法遵鑑測,以及於企業內建立資安的共識與環境,並從管理端落實。
針對車用資安防範與過去物聯網資安之間的差異,奧義智慧(CyCraft)共同創辦人暨資安長叢培侃指出,事實上車用資安與物聯網資安的本質相同,都包含計算單元、通訊、應用程式及雲端溝通幾個面向,然而差異在於汽車對於安全性的標準更高,且其所在環境的條件變化大,同時,汽車有相當多零組件皆由不同供應商所提供,不同供應商產品皆有其軟體需要維護及更新,當汽車製造廠(OEM)將其組裝之後,需要進一步管理汽車上50~100個不等數量的電子零組件資訊安全,相較於物聯網裝置的規模龐大許多。

叢培侃進一步表示,如何做好大量電子零組件的軟體版本管理,對於車廠來說實屬難事,因此,預期未來車廠在管理汽車軟體更新上,需要考慮及符合法遵的部分將會相當複雜,然而這項困難預計會在汽車電子電氣架構改變後趨緩。

除此之外,車聯網資安涉及領域除了車內各電子零組件分別的情況之外,亦須考慮向外連結的硬體設備,如其他汽車、移動裝置或者路側設備及交通號誌等。叢培侃坦言,這也是為什麼近期許多公協會、聯盟、大廠都要站出來召集產業製訂共通標準的原因。

既然資安防護將會成為本世紀最重要科技變革的「必備事項」,那麼目前在技術上,是否有尚且不足的部分?對此,范俊逸指出,事實上,學界在技術面上早已領先業界5~10年,因此技術基本已經到位,對於國家及企業而言,本階段需要進一步探討的,是如何透過「精準資安」概念將其落地。

所謂精準資安,范俊逸表示其包含面向極廣,包括理論、技術、法規、環境、成本、管理及效能,精準的概念在於「量身定制」,也就是說,資安防護機制一旦過多,就會淪為疊床架屋,實則無效,且可能會產生額外的攻擊點,對於供應鏈及車廠來說並無好處,因此在導入任何資安解決方案之前,廠商應先了解自己需要的究竟是什麼?包含自身的弱點、需求,瞭解清楚後再來尋求解方。

范俊逸認為,在了解自家需求的前提之下,首先要選擇正確的理論基礎,資安技術師承多派,然欲擋住駭客,需要有堅若磐石的核心,企業必須擇一理論來作為主軸,以此發展資安布局,才不會方寸大亂,導致東補一塊、西補一塊,卻沒有補到必要之處。

其次,以理論為基礎,盤點企業所需的技術層次,范俊逸表示,每個領域可能受到攻擊的點皆不同,同樣的,一個理論基礎落地亦會有不同的考量;其三則是法遵、其四為成本考量。

而在管理面上,資安制度進入供應鏈後,一定要有相對應的措施、管理方法去支持資安制度的落實,很多時候,資安並不是導入一個解決方案如此簡單,而是如何將資安「意識」落實到企業裡每一個角落、每一位員工,因此其中包括新進員工管理、重要機房管理等,皆需要有相對應的流程革新。范俊逸強調,資安議題很多時候是攸關於「人」的問題,內部控管系統必須合作,否則人的問題一旦出現,企業標準訂定在清晰,設計不照做、生產不照做,仍然會有後續問題產生。

之所以認為此刻為發展「精準資安」最好時機,在於資安議題終於從「Nice to have」晉升為「Must have」階段,因此對於企業而言,如何從需求出發,去尋求符合企業現況、成本可負擔的資安解決方案,尤為重要。

對此,范俊逸亦不諱言指出,資安的技術面通常不是問題,資安落實於供應鏈最大的問題在於產業沒有搞清楚、尚未準備好、不願意投入成本及管理技術沒有到位,畢竟加入資安考慮某種程度上必須犧牲一部分的效能,同時得提高成本,這對於過去以高效能、低毛率為主要模式的台廠而言,是相當大的思維轉換。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 資安