什麼是 UN R155 法規?

UR R155 是目前全球首個針對汽車資訊安全所通過的強制性法規。這是聯合國歐洲經濟委員會 (UNECE) 永續交通系統部門的世界車輛法規協調論壇(WP.29),針對汽車資訊安全風險所通過的法規。WP.29 將技術發展納入監管的規範中,以製造出更安全、合規的電動車。UN R155法規已經於2021年1月份正式生效。

UN R155 規範要求車輛需取得網路安全管理系統 (CSMS)認證。簡而言之,CSMS確保車輛從開發、上路到整個產品生命週期都依循遵守網路安全相關規定。



它帶來的影響是什麼?

UNECE WP.29 的54 個成員國,包括歐盟、英國、日本和南韓都可以採用此法規。此外,某些地區和國家可能要求車廠製造商必須遵守 UN R155 和其他 WP.29 的法規,車輛才能合法進入其市場。

雖然 UN R155 規範是針對製造商,但很明顯也會影響到其供應鏈,因為在車輛的開發、製造和製造後的階段,都需要 CSMS。

WP.29 的 UN R155被視為邁出的積極一步,因為它可以幫助汽車製造商、供應商和其他利益相關者建立一個更安全的聯網汽車生態系統,並且將未來技術發展和創新功能納入規範中。

要如何符合 UN R155 規範?

UN R155 訂出了一般和針對特定目標的規範,評估車輛是否符合 CSMS 及其是否充分實踐網路安全。該規範對製造商的主要挑戰來自於製造商必須對風險進行全面評估,並能夠辨識及應對整個車輛生命週期中所遇到的各種網路攻擊。

為此,UN R155 附件 5 列出了 69 個可能影響車輛網路資安的攻擊途徑,並列出以下幾個高風險的攻擊途徑,製造商為保護其車輛安全必須了解這些攻擊路徑並且部署必要的防護方案:

  • 後端伺服器。 與後端伺服器相關的威脅,其例包括員工濫用權限和未經授權的網路存取伺服器。
  • 通訊管道。 這些威脅涉及汽車的內部通訊管道,包括假訊息、注入程式碼和攔截資訊。
  • 更新流程。 從車輛更新流程而來或與其相關的風險,包括在更新過程之前操縱軟體,以及會阻止執行更新的阻斷服務 (DoS) 攻擊。
  • 人為錯誤。 這裡主要強調人為相關的風險,例如不遵守規定的安全程序和落入啟動網路攻擊的陷阱。
  • 外部連結。 外部連結風險,與車輛如何與其外部環境交流和通訊有關。這些通常涉及針對車輛感應器、外部介面和遠端功能的攻擊。
  • 資料/程式碼。 與資料/程式碼相關的威脅會影響車輛儲存、收集和使用的資料和資訊。包括未經授權存取車主的個人資訊、偽造車輛資料以及引入惡意軟體。
  • 充分補強漏洞。 當防護措施不足以保護系統免受漏洞攻擊時,就會成為可被利用的漏洞。此類風險與加密技術、硬體和軟體的破壞有關。

VicOne 如何協助您符合 UN R155 標準?

隨著汽車網路安全狀態不斷進步,加上遵守相對較新法規的壓力,如何為您的架構訂定最佳解決方案也許十分困難。對於已獲得 CSMS 認證和適應網路威脅的公司來說,他們必須採取措施來識別、分析和保護聯網汽車在整個車輛生命週期中免於風險。

VicOne 提供全面而靈活的解決方案,幫助車廠及供應商遵守 UN R155 法規並開發安全車輛。掌握最新汽車威脅情報並提供車載到雲端完整的車輛安全防護,VicOne可協助符合 UN R155 規範、掌握最新網路攻擊事件並守護您的車輛網路安全。

詳細了解 VicOne 如何為您的合規之旅和安全性提供支援。

xNexus

發現和管理風險。

xCarbon

保護車體各種 ECU 不被入侵,並確保車輛安全。

xZETA

ECU弱點控管 多層次掃描發現已知和未知的漏洞

xScope

滿足個別需求 靈活提供車輛滲透性測試服務

xSUMO

實現車輛遠端安全更新,車輛保持更新以應對未知的威脅。

UN R155常見問題



了解更多資訊

深入瞭解汽車網路安全

閱讀最新報告

馬上體驗更先進的汽車網路安全防護

預約專人展示