歐盟汽車法規納入網路安全標準，推動零污染與資安防護並進

隨著氣候變遷與網路安全威脅加劇，歐盟對汽車產業推出新的管制措施。從明年起，製造商若要在歐洲銷售新車，不僅須符合更新的排放標準，更首次須將網路安全列為優先考量。

歐盟最新排放標準 Euro 7 於 2024 年公布，針對所有汽油、柴油與電動車設定新規範，是歐盟邁向零污染目標的一環。該標準將從今年 11 月起分階段實施。

網路安全首次納入排放標準

Euro 7 在眾多排放與廢氣限制標準、空氣品質目標及環境數據要求之外，首次納入一系列網路安全規範。這些措施重點在於防止竄改行為並保護敏感數據，特別是隨著電動車數量激增，其中部分甚至無需人類駕駛。

歐盟要求製造商採取網路安全措施，確保排放及電池耐用性相關數據能安全傳輸。這包括取得風險評估、威脅緩解及整個生命週期安全軟體開發的安全認證。

Euro 7 中，監管機構警告「竄改車輛以移除或停用污染控制系統零件是眾所周知的問題」。里程表竄改可能導致虛假里程數並妨礙車輛的適當監控，這也是 2024 年文件中提出的另一項關切。

從Dieselgate醜聞到資安管理

專家認為，網路安全條款對歐盟車輛排放指令而言相當新穎，反映出技術與威脅態勢的巨大變化。NCC Group 資安顧問 Liz James 博士表示，Euro 7 加入網路安全要求可能與 2015 年的 Dieselgate 醜聞有關，當時福斯汽車被控安裝軟體以偽造排放與燃油效率測試結果。

過去的指令未明確要求網路安全。如今，在車輛整個生命週期中準確測量排放的目標本身就面臨網路威脅。James 指出關鍵問題：監管機構如何擷取數據並確保其無法被竄改或修改？

歐盟需要更有效地追蹤與管理排放以減少污染，可信賴的數據因此至關重要。而 Euro 7 建立起讓產業負責的框架。

數據竄改一直是個問題，但現在 Euro 7 將其與聯合國第 555 號法規（UN Regulation No. 555）關於網路安全管理系統的規範連結。該法規旨在為車輛認證設定統一標準。汽車製造商必須證明他們進行了徹底的風險與威脅分析，以修補漏洞並防止未經授權存取車輛或通信系統。

James表示，符合這些排放標準意味著你必須明確顯示這些威脅已經被管理。如果監管機構想減少排放，他們最大的潛在對手就是負責管理排放的製造商本身。這一切歸結為協助監管機構確保資訊的準確性，儘管涉及的許多汽車公司有動機操縱和修改這些數據。

車輛系統面臨的資安威脅

現今車輛系統日益互聯、先進且由軟體驅動，不可避免地含有漏洞。製造商若未能修補這些漏洞,駭客便可入侵汽車系統。

駭客可能入侵 GPS 竊取敏感的位置資訊。若系統儲存財務資訊，可能面臨數據與財務盜竊風險，特別是許多服務採用訂閱制運作時。

汽車製造平台的整合環節是最大隱憂。一輛車的軟體可能來自不同供應商，整合過程未必順利。更嚴重的是，單一軟體漏洞可能危及整條供應鏈。此外，汽車公司還必須關注軟體控制的零件，因為駭客可能操縱煞車系統並導致硬體故障。

產業能否如期達標？

雖然網路安全措施對歐盟排放法規來說較為新穎，但專家認為實施起來不會太困難，因為軟體的網路安全要求已經存在。Gupta 重申，公司主要關切的是整合問題。不同供應商會提供特定零件並為各自的軟體建立網路安全系統，但汽車公司必須將這些全部整合起來。他指出，整合是可能需要額外時間的一個環節。

「唯一的擔憂是：我們能否如期達標？」不過，專家認為產業不會抗拒，因為網路安全是所有人的關切。製造商在工廠已經面臨嚴重的網路威脅，網路安全早已納入考量，現在只是對自動化系統進行更正式的規範。

專家認為 Euro 7 的某些要求對企業而言不難達成，因為法規並未規定具體的緩解方式，而是要求妥善管理風險。不過，對於在 Euro 7 公布前尚未採取相關措施的製造商來說，這些安全要求可能帶來挑戰。

實施需要一定的成熟度。生產重型機械和高排放車輛的製造商可能準備不足。專家表示，這些製造商已經在執行部分措施，只需釐清真正新增的要求是什麼。現實是，目標不是阻止製造商生產產品，而是激勵正確的行為並鼓勵成熟的流程。

本文轉載自 DarkReading。