淺談車載資安國際標準 : TISAX

企業組織若希望在數位時代仍保持競爭力，其中一項重大構面為關注並重視資訊安全，此觀點尤其在汽車產業及供應鏈更是特別重要。在智慧駕駛汽車即將普及之際，大量敏感資料將隨時進行交換及傳輸，資訊安全將成為車輛整體安全的核心部份之一。

近期由於企業組織的疏忽，或是駭客手法持續演進，造成車載資安事故頻傳，導致企業組織的有形與無形損失。例如 :

• 德國福斯汽車集團 (Volkswagen) 2021年6月通知客戶，因合作的外包商發生長達近2年的資料安全疏忽，導致330萬北美車主包括姓名、電子郵件，以及生日等資料外洩。
• 年僅19歲的德國少年大衛．可倫坡（David Colombo）2022/01在資安領域成為了全球焦點，因為他發現的資安漏洞，成功遠端駭進全球13個國家，超過25輛的特斯拉電動車。雖然問題不是出在特斯拉電動車身上，而是一款用於收集及分析車輛行駛數據的開源軟體，但特斯拉資安人員還是在該消息爆出後主動聯繫了他。

根據UPSTREAM 2021 Auto Cybersecurity Report的說明，可以看到以下產業風險 :

• 雖然 COVID-19 減緩了許多汽車企業營運成長，但網路攻擊卻呈上升趨勢。原始設備製造商和汽車供應商成為了主要攻擊目標，部份網路攻擊甚至中斷了主要的原始設備製造商的運作。
• 大多數汽車業駭客攻擊，皆出自於惡意企圖。2020年55% 的駭客攻擊目的是破壞業務運作、竊取財產和勒索贖金。
• 過去十年中最常見的三種攻擊目標是伺服器、無鑰匙進入系統和行動APP，2020年遭鎖定攻擊之伺服器數量增加73%。
• 與汽車相關的 CVE 的數量正在增長，2021年為止，已有 110 個與汽車行業相關的 CVE（常見漏洞和曝露），2020年為 33 個，而 2019年為 24 個。
• 資訊外洩和車輛盜竊是 2020 年網路攻擊的主要影響之一，36% 的事件涉及資訊和隱私外洩，28% 的事件涉及車輛盜竊或闖入。

雖說遵循並實施 ISO/IEC 27001（簡稱“ISMS”）國際標準，將有助於建立先進的防護體系，從而確保以安全的方式來處理保密資訊。然而，並無法滿足汽車產業的特殊需求。因此，汽車產業內部便成立了很多協會，主要目標是針對自身特殊需求，精準制定並優化相關標準，“德國汽車工業協會（VDA）”便是其中之一。當時，汽車產業的數位成員建立了資訊安全工作小組，並最終一致認為，由於彼此間需求相似，因而有必要對現有的資訊安全管理標準進行量身訂做。

在各方的共同努力下，一份調查問卷“VDA ISA（德國汽車工業協會資訊安全評鑑）”應運而生。但是，這些合作夥伴採用的標準依然各不相同，對於如何解釋標準也是說法不一。負責 ISA 維護的 VDA 工作小組中的 OEM（原始設備製造商）與供應商在聽取各家供應商的意見後，針對“如何證明符合安全標準？”這個問題，為汽車產業的廣大供應商及相關企業給出了如下答案。

這個答案便是 TISAX，全名為 “Trusted Information Security Assessment Exchange”（ 可信任資訊安全評鑑交換）。

TISAX 流程分為三大步驟 :

1. 註冊 : 由TISAX監管單位 ENX Association負責收集參與公司以及評估過程所需要的資訊。
2. 評鑑 : 參與評鑑流程，評鑑工作由ENX Association指定的一名 TISAX 稽核服務提供者執行。
3. 交換 : 參與者與合作夥伴分享評鑑結果。

針對 VDA ISA 摘要說明如下 :

1. 資訊安全 (Information Security) : 共有41個控制問題，內容包括所有依據 ISO/IEC 27001 制定的基本控制，此部分為強制要求。
2. 原型保護 (Prototype Protection) : 共有22個控制問題，範圍包括被歸類為需要保護但尚未向公眾展示和/或由 OEM 以適當形式發布的車輛、元件與零件，此部分依據下游客戶要求決定。
3. 個資保護 (Data Protection) : 共有4個控制問題，當產品/服務適用於符合GDPR Art. 28 時才需要，此部分依據下游客戶要求決定。

聯絡ASC以了解更多內容   automotive.tw@sgs.com