隨著資安威脅推陳出新,被世界各國視為重要議題的半導體產業,其資安防護難度與日俱增。一旦半導體供應鏈遇到資安威脅,動輒影響生產效能、造成財務損失與商譽減損,但半導體產業過去因機台老舊無法更新,或因缺乏一致性的資安規範,使得相關設備與節點暴露在高風險環境之下。
相較於其他高科技產業,半導體產業的資安系統與運作環境更顯複雜。首先,晶圓製造廠的設備投資高,加上為了確保良率,機台往往一用就是好幾十年;而過往半導體設備機台較不重視資訊安全設計與研發,導致機台電腦經常使用老舊作業系統,甚至已終止安全性更新服務,機台感染電腦病毒或受到惡意攻擊的情況因此時有所聞,造成資料遭竊或影響產線運作。
其次,半導體廠商還有控制水電、氣體等工業自動化的機台,各自的作業系統、通訊協定都不盡相同,有些已經是使用幾十年的老舊設備,另外工廠還有一些進行測試、管理的設備,多為非標準化的嵌入式系統,無法定期進行安全性更新,經常成為資安的破口,這些都增加了資安防護的難度。
有鑑於此,SEMI Taiwan 半導體資安委員會與台積電緊密合作,結合半導體上中下游供應鏈及產官學研各界力量,催生出台灣首個半導體晶圓設備資安標準(SEMI E187),主要涵蓋機台設備電腦作業系統維護及更新、機台網路安全強化、端點保護、資訊安全監控等四大重點。這不僅是SEMI首度打造的國際性資安標準,也是首個由台灣主導制定的半導體國際標準,並可望逐步納入相關業者的採購規範。
為了提供半導體廠商具體的參考實務指引,我們也打造專屬的資安風險評級服務,結合客觀的第三方資安態勢評分及資安問卷自評,進行綜合性評分。這套評估系統不僅會打分數,即時檢驗並揭露企業之資安弱點與威脅,也會建議管理者應如何改善、提高分數,同時會持續監控資安措施成效,幫助企業強化相關規劃管理。
2023年SEMI Taiwan 半導體資安委員會要繼續推廣及落實E187並且建立標準的驗證環節,目前已由工研院與業界專家組成工作小組,著手研議驗證方法與機制之制定,藉以檢驗廠商設備之資安相關設計是否有效符合標準。
另一方面,經過一年努力,我們蒐集到半導體產業的諸多資安風險清單,根據風險大小半導體資安委員會也將推出現實可行的參考方案與架構,同時也會持續與歐美及日本半導體廠商合作,交換經驗、資安標準、解決方案與架構,如有需要也可著手建立新標準,並透過SEMI平台推向全世界。
SEMI E187標準只是一個開端。面對層出不窮的新興網路攻擊、混合工作型態的興起、複雜的作業環境、部分企業的資安防護觀念不足,半導體產業的資安工作仍有不少挑戰亟待突破。我們呼籲業界能更重視資安,攜手打造兼顧生產力與便利友善的企業資安解決方案,讓使用者在察覺不到資安防護運作的情況下,放心使用各種軟體與網路。而除了半導體上下游業者的參與,也期待建立穩定、高度信賴的基礎建設,包括水電及其他設施,這有賴更多合作夥伴一起投入,打造半導體護國群山的最強安全防線!
(本文作者為SEMI Taiwan 半導體資安委員會主席暨台積電企業資訊安全處長屠震)