UNECE R 155

UNECE R 155《網絡安全及網絡安全系統》（Cyber security and cyber security management system）是聯合國歐洲經濟委員會（UNECE）的世界車輛法規協調論壇（WP.29）發佈的法規，列出有關汽車網絡安全（Automotive Cybersecurity）的需求，以減少網絡攻擊的風險，並且要求建立網絡安全管理系統（cyber security management system），此法案是在2020年6月24日發佈^[1]。

R 155的內容

R 155要求汽車的製造商需建立網絡安全管理系統（CSMS），並且確保此系統可以通過車輛型式審查（德語：Typgenehmigung (Kraftfahrzeug)）。

在網絡安全管理系統中有定義汽車開發的流程，可以系統化的處理和評估網絡攻擊的風險。

法規中只要求汽車零件供應商（德語：Automobilzulieferer）要通過R 155。製造商需證明有能力控管供應商的風險^[2]，因此就和其他產品責任（英語：Product liability）風險的管理類似，製造商也會要求供應商導入網絡安全管理系統。在ISO/SAE 21434中，也有透過網絡安全協議（着重網絡安全的服務介面協議（德語：Leistungsschnittstellenvereinbarung））來進行要求。

網絡安全管理系統

網絡安全管理系統（CSMS）有以下的特點：

風險管理：需由製造商導入有關網絡威脅風險識別、評估以及減緩的流程^[3]。
流程必須包括汽車開發、汽車生產，以及使用者實際駕駛的階段^[4]。
針對在運行的車輛，必須針對已知的攻擊進行監控，並且更新軟件，以確保汽車的安全。
需由獨立機構^[5]進行評估，以證明供應商的網絡安全管理系統符合R 155的要求。有能力執行此一任務。認證效期3年^[6]。這也是汽車製造商生產車型通過型式審查前的必要條件。

一般認為網絡安全管理系統可以偵測到新的網絡威脅，並且發展防範的對策。R 155設定了要做什麼以及如何檢查的準則，但R 155不會強制網絡安全管理系統的設計方式，也沒有明確說明可以避免哪些網絡威脅，以及如何避免網絡威脅的方案。

以風險分析為主

附錄5以風險分析的角度，列出了許多攻擊方式以及攻擊標的。R 155沒有強制要依附錄5進行分析，不過一般在認證的評估時，也會假設已針對這些攻擊方式進行處理。

附錄5有提到：

汽車和周遭設備的無線通訊，例如，在製造時和更新伺服器的通訊，需考慮的是對車聯網通訊或是keyless go（英語：keyless go）功能的危害。
韌體更新流程的安全性，以避免更新到植入惡意程式的韌體。
避免車上人員的介入，（車上人員的介入會讓攻擊者可以用欺騙的方式採取行為，例如在PC上用郵件釣魚式攻擊）。
程式和資料的安全防護，避免資料更改或是外流。
透過不適當的加密方式進行的保護，或是一些加密方式在開發時是適當的，但隨着科技的演進而失去保護效果（例如過短的密鑰）。

章節B說明攻擊的手法以及防範的方式，章節C說明對於內部人士攻擊的防護，以及從製造商後端伺服器攻擊的防護。

ISO/SAE 21434的角色

ISO/SAE 21434是在實現UNECE R 155時的指南，也是車輛產業中的標準。VDA有發行Automotive Cyber Security Management System Audit，讓汽車產業可以準備網絡安全的評估。

範圍

依照UNECE R 155，需在以下分類的車輛上實施網絡安全管理系統^[7]：

M類: 四輪以上的轎車。
N類：四輪以上的貨車。
O類：至少有一個電子控制器的拖車。

也包括含有自動駕駛功能的車輛。

參考資料

^ Nations, United Nations Economic Commission for EuropeInformation UnitPalais des; Geneva 10, CH-1211; Switzerl. UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles. www.unece.org. [2020-11-10]. （原始內容存檔於2020-11-28）.
^ UNECE R 155, Section 5.1.1. (a)
^ UNECE R 155, 2.3節
^ UNECE R 155, 7.2.2.1節
^ UNECE R 155, 5.1.1節有提到test institute或是approval authority
^ UNECE R 155, 6.7節
^ UNECE R 155, 1.1節, 1.2節
^ UNECE R 155, 2.7節

文獻

UN Regulation No. 155 - Cyber security and cyber security management system （頁面存檔備份，存於互聯網檔案館）
Automotive Cyber Security Managementsystem-Audit （頁面存檔備份，存於互聯網檔案館） VDA, QMC, 2020-12-01

[1] Nations, United Nations Economic Commission for EuropeInformation UnitPalais des; Geneva 10, CH-1211; Switzerl. UN Regulations on Cybersecurity and Software Updates to pave the way for mass roll out of connected vehicles. www.unece.org. [2020-11-10]. （原始內容存檔於2020-11-28）.

[2] UNECE R 155, Section 5.1.1. (a)

[3] UNECE R 155, 2.3節

[Phasen-4] UNECE R 155, 7.2.2.1節

[5] UNECE R 155, 5.1.1節有提到test institute或是approval authority

[6] UNECE R 155, 6.7節

[7] UNECE R 155, 1.1節, 1.2節

[Betriebsphase-8] UNECE R 155, 2.7節

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]