歐盟《資安韌性法(EU Cyber Resilience Act, CRA)》已於2024年12月10日正式生效,為所有包含數位元素的產品(Products with Digital Elements, PDE)制定統一且嚴格的網路安全要求。車載應用、無線連接、充電設備等這些要求涵蓋了產品的整個生命週期—從設計、開發、部署到退場。儘管法規已經開始施行,但真正的合規義務將自2027年11月10日起全面生效,留給汽車產業準備的時間有限。
CRA衝擊汽車產業生態系
雖然車廠目前已遵循如UN R156(軟體更新管理系統)等法規的要求,其中部分規定的內容亦與CRA接軌,但許多供應鏈內的各個PDE元件仍需單獨符合CRA的合規要求。
這些元件範圍涵蓋:
第三方車載應用程式與售後市場軟體(包括改裝、維修、保養、配件、升級以及其他增值服務)。
無線連接裝置(如免鑰匙進入系統)。
電動車充電設備(Electric Vehicle Supply Equipment, EVSE)。
農業與建築機械中的數位控制模組。
依據《資安韌性法》,製造商必須持續監控漏洞與威脅。若發現漏洞遭到利用,則必須在24小時內通報歐盟網路安全局(European Union Agency for Cybersecurity, ENISA),並迅速提出修補或是緩解措施。不遵守規定將可能面臨高達1,500萬歐元或全球年收入2.5%的罰款(以較高者為準)。違規行為包含未通報漏洞、未提交軟體物料清單(Software Bill of Materials, SBOM)或未執行安全設計原則等。
合規之路三大挑戰
在車輛內建智慧功能後,它們將不再只會「連網」,而是變成更具彈性與適應性的車。Edge AI偵測的主要優勢包括:
對於供應商與開發者而言,CRA帶來的挑戰主要有三:
24小時通報的實務難題
24小時內辨識並通報漏洞,在實務上極為困難。困難之處在於:無法確認漏洞是否正被利用、缺乏針對汽車系統相關的情境威脅情報,以及產品安全事件應變小組(Product Security Incident Response Team, PSIRT)流程或手動事件處理流程不夠完整。若是沒有創新的威脅情報以及自動化檢測,則難以滿足CRA必須於24小時之內漏洞預警通報的要求。
持續監測與快速修補
在汽車的整個產品生命週期中持續偵測、揭露和漏洞修復,需要投入龐大的精力和資源。業界迫切需要更具成本效益的解決方案。
供應鏈安全可視性不足
合規並非僅是車廠的責任,若缺乏對供應鏈的清楚掌握,將無法明確釐清合規責任,使製造商的整體風險被放大。
一站式平台解困境
為滿足CRA要求,企業需建置一套能夠結合漏洞管理與SBOM管理的系統以持續執行漏洞識別、評估與修補(圖1)。
這個系統的關鍵功能包含:
自動漏洞偵測,並能優先排序,偵測已知與未知漏洞,再依據嚴重程度、可利用性與系統情境分類。
持續管理、更新並自動產生SBOM,且能依據常見漏洞與暴露(Common Vulnerabilities and Exposures, CVE)與潛在漏洞進行交叉比對。
建構於即時更新情報平台的汽車威脅情報系統,能夠即時識別與實際漏洞利用等相關情境。該系統甚至可以描繪完整的攻擊路徑,協助掌握威脅的來源和影響範圍。
擁有拆穿供應鏈元件中隱藏的軟體風險之能力,且能自動辨識第三方元件中具數位元素的產品(Products with Digital Elements, PDEs)可能存在的零時差(Zero-Day)以及未揭露的漏洞。
(本文由VicOne車用資安研究團隊提供)
