打造汽車供應鏈韌性的資訊安全平台-TISAX(上)

華宇新訊|打造汽車供應鏈韌性的資訊安全平台-TISAX(上)

網路時代下衍生的汽車資安危機

       日本豐田汽車集團有兩家重要供應商於今年接連遭到駭客攻擊。第一次在2022年2月底,零件主要供應商「小島沖壓工業」遭到網路攻擊,零件供應系統被迫關閉,豐田汽車因無法調度零件,不得不緊急宣布全日本所有工廠,包括子公司產線全面停工,損失高達1.3萬輛汽車的產能,日本資安公司S & J的社長三輪信雄說道:「製造業是由大大小小的公司串聯在一起,就算是供應鏈中的任一中小企業被攻擊,上下連結後還是會造成嚴重損失,而且這是會持續發生的事。」因此,只要一家公司的資安措施不夠嚴密,全體供應鏈都有可能受到牽連,最終導致全面停工,造成巨大損失;在小島事件發生後不到1個月,關係企業電裝公司的德國子公司於3月遭非法植入勒索軟體Pandora,1.4 TB的機密資料已外洩,並收到駭客集團以公開機密文件來要脅贖金。其實豐田汽車一直傳達各種資安指引來增強防禦能力,但其供應鏈規模實在過於龐大,要完美管理數以萬計的供應商,執行面很難達成。

       汽車產業的供應商和服務提供者中,有許多都會處理來自客戶的高度敏感資訊,因此,客戶經常要求他們提供符合嚴格資訊安全要求的證明。然而,這些資訊安全稽核皆由各家OEM客戶自行執行,導致不必要的重複稽核活動與資源耗費。

       因此,在汽車OEM廠的積極推動下,VDA已於2017年開發出可分享資訊安全評鑑結果的平台,並委託ENX協會(由歐洲汽車製造商、供應商及國家汽車協會構成的組織)管理與監督,供應商只須接受ENX認可的第三方稽核機構每三年一次的評鑑,證明其資訊安全管理符合VDA的ISA(Information Security Assessment,資訊安全評鑑)要求,並將其評鑑結果透過TISAX平台分享給欲知結果的客戶或其他利害關係者即可,未來將大幅減少繁複的客戶稽核活動。

認識TISAX

  TISAX(Trusted Information Security Assessment Exchange),中譯為可信賴之資訊安全評鑑交換,供應商可透過該平台之分享證明其資安管理符合VDA ISA(Verband der Automobilindustrie Information Security Assessment,德國汽車工業協會資訊安全評鑑)的要求。VDA ISA是一種適用於汽車行業的資安評鑑標準(Information Security Assessment),由VDA參考ISO/IEC 27001、ISO/IEC 27002及ISO/IEC 27017等標準,納入GDPR(一般資料保護規範)第28條的資料保護規定與汽車業重視的原型保護相關要求制定而成。透過VDA核准之稽核機構,依據VDA ISA標準確認供應商應具備的資訊安全能力,可獲得汽車產業客戶的信任,進而減少雙方重複稽核的活動。

TISAX評鑑範疇

  現行評鑑範疇(Assessment Scope) 涵蓋資訊安全管理系統、資料保護及原型保護, 大致說明如下:(1)資訊安全(Information Security):為強制評鑑項目,其內容參酌ISO/IEC 27001、ISO/IEC27002及ISO/IEC 27017,共有41個管控項,分別列於資安政策與組織、人力資源、實體安全與營運持續、供應商關係等章節中。(2)資料保護(Data Protection):依據GDPR第28條規定資料處理者應履行「符合度評鑑」之義務,當供應商可取得客戶相關個資時須進行該類評鑑,此部分以Yes或No方式回答,僅有4個管控項,如指派資料保護專責人員、確保個資處理與資料保護符合法規所採取的措施、員工保密義務等。(3)原型保護(Prototype Protection):針對研發、試製、測試至運輸等各階段的原型樣品提出保護措施,包含零部件與整車,當供應商可取得客戶尚未公開的原型機密資訊時,須進行該類評鑑,可區分為組織要求、實體與環境安全、車輛、零部件的處理及試車要求等面向,共有22個管控項。

TISAX評鑑目標vs評鑑等級

  目前有8項評鑑目標(Assessment Objective),受評者須選擇至少1項評鑑目標,亦可選擇多項評鑑目標,稽核服務提供者(audit provider)會根據評鑑目標擬定評鑑策略,通過評鑑後將獲得與評鑑目標一致的TISAX標章。不同程度的評鑑目標,適用不同的評鑑等級,如下表所示。

網路時代下衍生的汽車資安危機

TISAX評鑑等級

  評鑑等級(Assessment Level)分為三級,稽核服務提供者(audit provider)會依據等級進行不同程度的查核強度,強度由低到高依序為:AL1、AL2、AL3,說明如下:(1)AL1(一般等級):選擇AL1的受評者只需完成ISA查檢表自評,稽核員也只要檢查受評者是否已完成適用的評鑑項目,不須評鑑其評鑑結果的適切性或是取得進一步的證據。此評鑑結果的信任級別較低,因此不適用於公佈在TISAX;(2)AL2(高等級):選擇AL2的受評者完成ISA查檢表自評後,須接受稽核員透過遠端(電話或視訊)進行真實性檢查(Plausibility check),若有機密文件保護之考量,可要求稽核員針對該機密文件進行現場稽核;(3)AL3(極高等級):可能接觸到高度敏感資料之受評者,通常會被要求AL3等級,除了完成ISA查檢表自評外,也須接受稽核員之現場人員訪談及現場稽核(on-site),以進行徹底查證(Thorough verification)。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *