暗網潛航——電動車與信息安全

  香港特區政府剛公佈《香港電動車普及化路線圖》(《路線圖》),闡述未來香港推動使用電動車所需配套的長遠政策目標及計劃。本人十分贊同電動車普及化,此舉既能帶來環保的好處,更是智慧城市發展裏交通規劃(智慧出行)必要因素。

  《路線圖》涵括範圍甚廣,作為信息安全專家自然對電動車的安全性感到非常有興趣。細閱政策文件詳列電動車普及化對社會的好處、相關的協同技術如人工智能、自動控制等。當中提及現行的城市及交通環境、充電設施及現行法例的情況、電池壽命及安全、電動車供應及新能源,但仍不見「電動車信息安全、驗收」等標準及要求。終於在維修及保養章節看到相關內容──資助大專院校培訓維修人員,範圍覆蓋化學及材料、電機及電子製造、工業機械及汽車工程,但獨欠信息安全及訊息系統,更不見有討論或納入任何相關的工業標準及規範,令人失望。

  過去我在各類研討會及政府會議中指出,電動車安全跟傳統汽車存在差異性。在傳統的機械和電子儀器層面外加上訊息系統,電動車所面對的風險,與電腦訊息系統完全相同。這個層面上相關的各類法規及行業標準,已被確立而且普遍接受,安全指引如國際ISO/SAE 21434、歐洲ENISA和Evita及日本IPA,還有中國國家標準《車載網絡設備信息安全技術要求》等。但這個《路線圖》只着重電動車機械和電子儀器,沒有全面考慮普及化後所面對的風險,實在令人擔心。

  政府必須參考這些通用的標準,然後制定切合本地環境相關法例和指引。將來有一日出現大量電動車私隱洩漏、突然癱瘓或網絡實時遠端遙控電動車,才加入信息安全的法例便為時已晚。

TOZ聯合創辦人

龐博文


hd