車輛中心 產業發展處 李佩蓉

隨著智慧車聯網技術的普及，資安需求成為汽車產業的關鍵議題。若系統遭遇駭客攻擊，可能影響汽車控制系統，對駕駛和乘客安構成威脅。為此，各國政府和企業加強相關政策與解決方案，確保車聯網的安全。本篇介紹智慧車聯網的國際規範及應對措施。   

智慧車聯網的資安挑戰及聯合國法規 

智慧車聯網核心在數據傳輸的即時性與安全性，相較傳統汽車更容易受到網路攻擊，聯合國在2020年制定車輛網絡安全和軟體更新的兩項法規UN R155、R156（如表1），UN R155規定製造商建立網路安全管理系統，涵蓋從設計、製造到供應鏈需防範安全威脅；R156規範OTA軟體更新管理系統，防止駭客利用漏洞進行惡意更新。 上述法規2021年1月份生效，規定從2024年7月起，所有車型須通過標準，才能在歐盟、日本、南韓等會員國銷售，如Porsche原計畫2024年在歐洲推出Macan的燃油版與純電版，但因燃油版不符規定，於歐洲停售。

表1．UNECE R155、R156規範內容

資料來源：新聞媒體，車輛中心整理    

國際汽車產業推動SBOM確保符合UN R155標準 

因應智慧車輛資安需求，國際汽車產業推動軟體物料清單（SBOM），確保供應鏈中的軟體符合UN R155。日本汽車業團體於2024年7月發布初版SBOM，以降低供應鏈中軟體命名和規範不一帶來的風險，計畫在2025年3月推出正式版，目前Toyota、Denso、Hitachi等逾百家日企加入Japan Automotive ISAC行列，同時與美國Auto-ISAC及歐洲車廠（如Mercedes-Benz）合作。此外，歐盟於2024年10月通過網路韌性法案（Cyber Resilience Act，CRA），要求2027年前軟體供應商須提供SBOM，涵蓋車載軟體、車聯網技術，若未符規定，將面臨至少1,500萬歐元的罰款。

各國高度重視車輛資安政策把關供應鏈來源 

除資訊安全標準外，各國推出資安政策，在供應鏈上對涉及敏感數據和技術的外國供應商採更嚴格的管制。美國商務部於2024年提出政策，計劃在2027年禁用來自中國大陸車聯網軟體零組件，到2030年則禁用硬體零組件，主要車廠如福特與通用調整供應鏈，逐步淘汰中國製零組件。​   

歐盟對車聯網資安的關注，針對中國大陸的車輛軟體安全風險進行調查，2024年9月歐盟宣布計劃在未來幾周推出「資訊與通訊技術供應鏈工具箱」以管理風險；韓國政府反映對美國政策的憂慮，希望美方設立寬限期減少對韓國車企的衝擊；中國大陸對此持反對態度。   

台灣持續推動導入UN R155、UN R156政策及驗證能量 

因應聯合國UN R155、UN R156規定，我國交通部計畫從2028年起分階段實施；2024年10月車輛中心與德國TÜV SÜD簽署合作備忘錄，設立台灣首座符合UN R155、R156標準的驗證機構，協助業者獲取資安防護、軟體更新等領域的測試技術認證，拓展國際市場。

圖1.  車輛中心與德國TÜV SÜD簽署合作備忘錄

資料來源：車輛中心   

台灣以ICT能量持續拓展車用資安 

台灣廠商積極投入車聯網資安，2021年MIH電動車開放平台EVKit推動「設計安全」概念，建議在零組件設計階段進行威脅分析和風險評估（TARA），並透過Zero Trust加強用戶身份驗證；今年VicOne將SBOM整合到XZETA平台，應用漏洞衝擊評分技術（VVIR）自動偵測異常並即時排除，並獲ISO/SAE 21434認證，此外，VicOne與公信電子、微軟、緯創等策略夥伴合作，確保台灣供應鏈符合國際車廠資安要求；台達電、聯發科等ICT廠商成立科絡達發展加密技術，僅當公鑰和私鑰配對時允許更新，確保資料傳輸安全，並計劃拓展日本市場，推動當地電動化與數位轉型。

台灣企業致力發展符合國際車輛網路安全及軟體更新管理標準的資安技術，以此為核心推動供應鏈升級與優化，未來持續與國際夥伴合作，提升國際資安藍海的競爭力。