TUV NORD Taiwan提供實戰指引 台廠加速實踐車載AI/資安合規
近年隨著智慧車、電動車熱潮延續延燒,讓各界意識到未來汽車與AI與資安的距離急遽拉近,若未善加管制恐引發後患。因此近年車載AI/資安相關法規或標準相繼出爐;有志朝汽車供應鏈發展的台廠,自然需要遵循這些規範。
身為全球知名第三方驗證機構(Certification Body)的TUV NORD,憑藉多元驗證、稽核、檢驗、測試與教育訓練服務所淬鍊的底蘊,深諳車載AI/資安不同法規與標準之間的章節式連動,且富含導入的實作經驗,可望協助台廠順利實現合規目標。
遵循ISO/IEC 42001+ASPICE v4.0,管控車載AI風險
TUV NORD Taiwan工業服務部國際AI資安策略總監林正偉表示,歐盟有鑑於AI發展快速,於是積極建立對應監管架構,催生AI Act(AIA)法案,預計2024年底(2024)生效,在後續2~3年內上路施行,其影響力堪比過去GDPR,值得台廠高度關注。
AIA影響範圍廣泛,不論各行各業,只要有產品或服務出口至歐盟,甚至僅是將AI產出結果運用於歐盟,皆被匡列於適法範圍,需要依法管理AI風險。此時即可以ISO/IEC 42001標準做為基底,建立整個公司的管理架構;若企業屬於車用產業,另需導入ASPICE v4.0產業標準,兩相結合,便能滿足AIA合規需求。
ISO/IEC 42001自2023年底發佈後,北德已接獲許多企業前來諮詢,甚至不乏直接展開實作者。它與其餘ISO標準架構相同,均講求PDCA循環,惟在風險評鑑部分呈現不同之處。係因AI應用的最大困境在於幻覺,不易分辨對或錯,然一旦誤用恐對個人、企業、社會產生重大影響,風險態樣迥異於其他領域,故需採取不同的評鑑思維,因而在標準中列出多達9大領域、38個控制項,涵蓋政策、組織、資源、影響評估、生命週期…等維度。
此外以車用產品開發商而論,凡涉及AI開發者,另需遵循ASPICE 4.0所定義的Machine Learning管理架構。大致上來說,ISO/IEC 42001與ASPICE 4.0,一為國際標準、一為產業標準,兩者間有一定相關性;因此台廠必須先做到ISO/IEC 42001,接著再把ASPICE 4.0做細。
導入ISO/SAE 21434建構車載資安管理能力
另一方面,2024年7月起嚴格實施的R155汽車網路安全法規,同樣受到台廠重視。持平而論,R155規範對象為整車,台廠大多扮演代工、元件供應等角色,迫切需要遵循的標的,其實落在ISO/SAE 21434標準,此標準的導入與否,也攸關各廠能否取得汽車供應鏈的入場券。
TUV NORD Taiwan工業服務部資深經理陳育羣指出,約莫從1、2年前開始,即有許多台廠對ISO/SAE 21434預作準備,逐步建構企業整體的資安管理制度;此外亦針對ASPICE車用標準中關於開發流程的資安細部要求展開研究。
基本上TUV NORD Taiwan對「軟體定義汽車」主軸著墨甚深,並鎖定AI/ML或Cyber Security等相關議題養成扎實的Technical Domain。談到ISO/SAE 21434,TUV NORD Taiwan歸納有兩個需要廠商留意的事項,首先切莫將資安視為開發部門一己責任,應要求所有單位共同參與,才能從點、線到面形成全面防堵。其次Cyber Security與AI一樣,欲控制風險,先從整個公司的管理做起,再就產品開發面執行細緻管理。
值得一提,汽車資安與一般網路資安不乏矛盾之處,例如以往網路資安經常訴求持續更新、嚴格加解密,試想行駛中的車輛若暫停數秒來滿足這些需求,豈不釀成Safety風險!故北德在執行相關教育訓練時,不會流於ISO/SAE 21434條文解釋,會一併帶入執行細節,引導廠商懂得弭平Cyber Security與Safety中間的Gap。
陳育羣強調,總括來說,TUV NORD Taiwan聚焦在Safety、AI、Cyber Security和管理系統四大風險管理主題,以ASPICE為核心來建構管理系統,進而搭配Security 4 Safety(S4S)整合性服務,整理不同標準規範的互相關聯,輔以長期養成的實作Knowhow,協助客戶綜觀所有標準,依據不同標準章節之間的相依性或連結性,設定最順暢的合規路徑。