Регламент ООН № 155
Регламент ООН № 155 (англ. UN Regulation No. 155, полное название — Единообразные предписания, касающиеся сертификации транспортных средств в отношении кибербезопасности и системы управления кибербезопасностью) — это международный технический регламент, разработанный Всемирным форумом для согласования правил в области транспортных средств (WP.29) Европейской экономической комиссии ООН (ЕЭК ООН). Документ устанавливает обязательные требования к кибербезопасности автотранспортных средств, включая процессы управления рисками, защиту программного обеспечения и предотвращение несанкционированного доступа к бортовым системам. Регламент вступил в силу в январе 2021 года и стал первым в мире юридически обязывающим стандартом в данной области.
История разработки
Рост числа подключённых и автономных транспортных средств привёл к увеличению рисков кибератак, способных повлиять на безопасность движения. В 2016 году WP.29 инициировал создание целевой группы по кибербезопасности (TFCS), которая в 2018 году представила проект регламента. После серии консультаций с автопроизводителями, научными организациями и национальными органами сертификации, в июне 2020 года документ был одобрен на 181-й сессии WP.29. Официальное вступление в силу произошло 22 января 2021 года. Регламент № 155 стал частью пакета из трёх новых нормативов, наряду с регламентами № 156 (обновление программного обеспечения) и № 157 (автоматизированные системы управления).
Структура и основные положения
Область применения
Регламент распространяется на транспортные средства категорий M (легковые автомобили), N (грузовые автомобили), O (прицепы), L (мотоциклы и мопеды) и R (прицепы для сельскохозяйственной техники), оснащённые электронными системами управления, подключёнными к внешним сетям. Документ не применяется к транспортным средствам, произведённым до 1 июля 2022 года, если они не проходят серьёзную модернизацию.
Система управления кибербезопасностью (CSMS)
Ключевым элементом регламента является требование к производителю внедрить систему управления кибербезопасностью (CSMS — Cyber Security Management System). CSMS должна включать:
- идентификацию и оценку киберрисков на всех этапах жизненного цикла автомобиля (проектирование, производство, эксплуатация, утилизация);
- разработку мер по снижению рисков до приемлемого уровня;
- мониторинг киберугроз в реальном времени и реагирование на инциденты;
- документирование всех процессов и предоставление отчётов сертификационному органу.
Требования к конструкции
Производитель обязан доказать, что транспортное средство спроектировано с учётом принципов «безопасности по замыслу» (security by design). В частности:
- все внешние интерфейсы (USB, Bluetooth, Wi-Fi, сотовые сети) должны быть защищены от несанкционированного доступа;
- криптографические ключи и сертификаты должны храниться в аппаратно-защищённых модулях;
- обновления программного обеспечения должны передаваться по защищённым каналам и проверяться на целостность;
- система должна предотвращать выполнение неподписанного кода.
Проверка соответствия
Для получения одобрения типа транспортного средства производитель должен предоставить сертификационному органу:
- описание CSMS и доказательства её внедрения;
- результаты тестирования на проникновение (пентесты);
- план управления киберинцидентами;
- отчёт о независимом аудите кибербезопасности.
Сертификационный орган проводит выборочные проверки на производственных линиях и может запросить дополнительные испытания. В случае выявления нарушений одобрение типа может быть приостановлено или отозвано.
Применение в разных регионах
Европейский союз
С 1 июля 2022 года регламент № 155 стал обязательным для всех новых типов транспортных средств, регистрируемых в странах ЕС и ЕЭЗ. С 1 июля 2024 года требования распространяются на все вновь произведённые автомобили. Импортёры обязаны подтвердить соответствие регламенту при ввозе транспортных средств из третьих стран.
Япония
Япония, как одна из стран — участниц Женевского соглашения 1958 года, внедрила регламент № 155 в национальное законодательство в 2022 году. Требования распространяются на все автомобили, продаваемые на внутреннем рынке, с 1 января 2023 года.
Республика Корея
Южная Корея приняла регламент № 155 в 2023 году, но с некоторыми национальными особенностями, включая обязательное использование национальных криптографических стандартов (ARIA, SEED). Полное внедрение запланировано на 2025 год.
Россия
Российская Федерация является участницей Женевского соглашения 1958 года. В 2023 году Министерство промышленности и торговли РФ объявило о планах по внедрению регламента № 155 в национальную систему сертификации. По состоянию на 2025 год, требования регламента не являются обязательными для российских производителей, однако ряд компаний (например, «АвтоВАЗ», «Камаз») добровольно внедряют его положения в рамках подготовки к экспорту. Ожидается, что обязательное применение регламента начнётся с 1 июля 2026 года для новых типов транспортных средств и с 1 июля 2028 года — для всех выпускаемых моделей.
Другие страны
Китай, Индия и страны ACEAH не являются участниками Женевского соглашения, но разрабатывают собственные национальные стандарты, во многом основанные на регламенте № 155. В Китае с 2023 года действует стандарт GB/T 40855-2021, который по содержанию близок к регламенту ООН.
Влияние на отрасль
Внедрение регламента № 155 привело к значительным изменениям в автопромышленности. Производители были вынуждены:
- создать отдельные подразделения по кибербезопасности;
- интегрировать процессы CSMS в существующие системы управления качеством (ISO 9001, IATF 16949);
- инвестировать в разработку защищённых электронных блоков управления (ЭБУ) и программного обеспечения;
- наладить сотрудничество с компаниями-разработчиками средств защиты (Kaspersky, Trend Micro, Argus Cyber Security).
По оценкам аналитиков, затраты на соответствие регламенту для одного модельного ряда составляют от 1 до 5 миллионов долларов США, однако эти расходы компенсируются снижением риска отзывных кампаний и репутационных потерь.
Критика и ограничения
Несмотря на широкое признание, регламент № 155 подвергается критике по нескольким направлениям:
- Сложность проверки — сертификационные органы не всегда располагают достаточной экспертизой для оценки CSMS, что приводит к формальному подходу.
- Отсутствие гармонизации — разные страны требуют дополнительных документов или испытаний, что увеличивает бюрократическую нагрузку.
- Недостаточный охват — регламент не распространяется на послепродажные модификации (например, установку нештатных мультимедийных систем), что создаёт уязвимости.
- Проблемы с обновлениями — требования к защите каналов передачи обновлений не всегда учитывают особенности работы в регионах с низкой пропускной способностью сетей.
Перспективы развития
В 2024 году WP.29 начал работу над поправками к регламенту № 155, которые должны учесть развитие технологий искусственного интеллекта, облачных вычислений и V2X-коммуникаций. Ожидается, что обновлённая версия будет включать требования к:
- защите моделей машинного обучения от атак (adversarial attacks);
- безопасной интеграции с инфраструктурой «умных городов»;
- управлению киберрисками в цепочках поставок компонентов.
Планируется также разработка отдельного регламента для кибербезопасности электрических зарядных станций.
Источники
- UN Regulation No. 155 — Uniform provisions concerning the approval of vehicles with regard to cyber security and of their cyber security management systems. United Nations, 2021.
- World Forum for Harmonization of Vehicle Regulations (WP.29). Report of the 181st session. ECE/TRANS/WP.29/2020/78.
- ISO/SAE 21434:2021 — Road vehicles — Cybersecurity engineering. International Organization for Standardization, 2021.
- European Commission. Implementing Regulation (EU) 2021/387 on the application of UN Regulation No. 155. Official Journal of the European Union, 2021.
- Министерство промышленности и торговли РФ. Дорожная карта внедрения международных стандартов кибербезопасности транспортных средств. Москва, 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →