UN R155

UR R155 是目前全球首個針對汽車資訊安全所通過的強制性法規。這是聯合國歐洲經濟委員會 (UNECE) 永續交通系統部門的世界車輛法規協調論壇（WP.29），針對汽車資訊安全風險所通過的法規。WP.29 將技術發展納入監管的規範中，以製造出更安全、合規的電動車。UN R155法規已經於2021年1月份正式生效。

UN R155 規範要求車輛需取得網路安全管理系統 (CSMS) 認證。簡而言之，CSMS確保車輛從開發、上路到整個產品生命週期都依循遵守網路安全相關規定。

UNECE WP.29 的54個成員國，包括歐盟、英國、日本和南韓都可以採用此法規。此外，某些地區和國家可能要求車廠製造商必須遵守 UN R155 和其他 WP.29 的法規，車輛才能合法進入其市場。

雖然 UN R155 規範是針對製造商，但很明顯也會影響到其供應鏈，因為在車輛的開發、製造和製造後的階段，都需要 CSMS。

WP.29 的 UN R155被視為邁出的積極一步，因為它可以幫助汽車製造商、供應商和其他利益相關者建立一個更安全的聯網汽車生態系統，並且將未來技術發展和創新功能納入規範中。

UN R155 訂出了一般和針對特定目標的規範，評估車輛是否符合 CSMS 及其是否充分實踐網路安全。該規範對製造商的主要挑戰來自於製造商必須對風險進行全面評估，並能夠辨識及應對整個車輛生命週期中所遇到的各種網路攻擊。

為此，UN R155 附件 5 列出了 69 個可能影響車輛網路資安的攻擊途徑，並列出以下幾個高風險的攻擊途徑，製造商為保護其車輛安全必須了解這些攻擊路徑並且部署必要的防護方案：

• 後端伺服器。與後端伺服器相關的威脅，其例包括員工濫用權限和未經授權的網路存取伺服器。
• 通訊管道。這些威脅涉及汽車的內部通訊管道，包括假訊息、注入程式碼和攔截資訊。
• 更新流程。從車輛更新流程而來或與其相關的風險，包括在更新過程之前操縱軟體，以及會阻止執行更新的阻斷服務 (DoS) 攻擊。
• 人為錯誤。這裡主要強調人為相關的風險，例如不遵守規定的安全程序和落入啟動網路攻擊的陷阱。
• 外部連結。外部連結風險，與車輛如何與其外部環境交流和通訊有關。這些通常涉及針對車輛感應器、外部介面和遠端功能的攻擊。
• 資料/程式碼。與資料/程式碼相關的威脅會影響車輛儲存、收集和使用的資料和資訊。包括未經授權存取車主的個人資訊、偽造車輛資料以及引入惡意軟體。
• 充分補強漏洞。當防護措施不足以保護系統免受漏洞攻擊時，就會成為可被利用的漏洞。此類風險與加密技術、硬體和軟體的破壞有關。