downloadGroupGroupnoun_press release_995423_000000 copyGroupnoun_Feed_96767_000000Group 19noun_pictures_1817522_000000Member company iconResource item iconStore item iconGroup 19Group 19noun_Photo_2085192_000000 Copynoun_presentation_2096081_000000Group 19Group Copy 7noun_webinar_692730_000000Path
2022-05-25

半導體設備資安不容忽視 SEMI E187標準走向導入期

By SEMI Taiwan

隨著智慧製造發展趨勢,在半導體產業鏈中,包含晶圓製造與封裝測試在內的半導體製造,皆已開始推動產線智慧化、聯網化以提高競爭力。但伴隨著設備聯網而來的OT資安問題,也一直令許多業者困擾不已,2021國內上市櫃公司也發布多起重大資安攻擊事件訊息,造成或大或小的損失。

國際半導體產業協會(SEMI)全球行銷長暨台灣區總裁曹世綸指出,由於半導體產線的資訊安全,一直是半導體製造業者最關心的大事。因此,在SEMI於2018年發起號召,希望制訂出符合半導體產業需求的資安標準後,很快就獲得台灣多家產官學研單位的認同跟積極投入,最終在日前產出了全球第一個半導體晶圓設備資安標準 SEMI E187 - Specification for Cybersecurity of Fab Equipment(以下簡稱SEMI E187)。接下來,讓產業鏈普遍導入這個標準,提高整個半導體產業的資安防禦能力,將是最關鍵的工作。

 

SEMI深耕產業標準50年 半導體設備資安標準全球首發

為促進半導體產業發展,SEMI於1970年代就開始推動各項產業標準的制定。英特爾、IBM、超微、德州儀器、三星、台積電等半導體大廠,不僅都是SEMI系列標準的制定者,同時也是採用者。例如在半導體產線的環安衛方面,SEMI標準就廣獲業界採納。台積電創辦人張忠謀更曾表示,台積電所採購的設備,在環安衛方面,一定要符合SEMI標準規範,才能被列入採購清單。展望未來,在半導體設備資安方面,SEMI E187也將成為具有同等地位的標準。

近期由經濟部工業局及SEMI共同舉辦的SEMI E187設備資安標準導入與實務研討會,來自產官學研等重要代表包含經濟部工業局電子資訊組副組長顏鳳旗、台積電企業資訊安全處長暨SEMI台灣半導體資安委員會主席屠震、工研院資通所組長卓傳育均有參加,期望能讓藉由此研討會助SEMI E187標準成為半導體設備與OT資安的基石。

台積電企業資訊安全處長暨SEMI台灣半導體資安委員會主席屠震指出,SEMI E187標準是半導體設備資安進展的重要里程碑,更難能可貴的是,這是一個由台灣廠商與政府、學研機構共同主導,同時也是半導體業界第一個跟設備資安有關的標準。有好的標準只是一個開始,接下來更重要的工作是要讓這個標準在產業內擴散,獲得普遍採用,才能提高整個產業的資訊安全。

經濟部工業局電子資訊組副組長顏鳳旗則表示,半導體是台灣的重要產業,沒有資安就沒有產業的安全。有了SEMI E187標準,半導體的生產將變得更加安全,同時也能為台灣半導體設備跟資安相關業者,帶來更多發展契機。接下來,經濟部工業局以及SEMI,將會共同建立SEMI E187的導入範例,期望於接下來4年內,使台灣半導體產業全面導入SEMI E187標準。

 

供應/採購兩端著手 同步加速標準導入

SEMI Standards FAB及設備資訊安全工作組組長暨台積電企業資訊安全處部經理張啟煌說明,SEMI E187半導體設備資安標準是一個基本的資安需求。該標準涵蓋了作業系統、網路、端點防護與安全監控/資安稽核等四個面向的資安關鍵要素。在此標準的指引下,相關設備與軟體的供應商,以及使用這些設備的半導體製造商,都可以掌握半導體設備資安強化的重點,明白現有產線設備在資安上還有哪些不足之處,進而建構出更安全的OT環境。

接下來,身為SEMI E187標準的主要倡導者之一,台積電將會與設備供應商宣導,在條件許可的情況下,未來將SEMI E187標準列為設備採購的基本要求規範。

 

掌握標準具體要求至為關鍵  提升供應鏈資安要靠全方位協作

睿控網安首席解決方案架構師劉大川則指出,要導入SEMI E187標準,最重要的是掌握標準所涵蓋的四大要素--作業系統、網路、端點防護跟監控/稽核,各自有哪些要求。

例如在作業系統(OS)方面,SEMI E187標準明確規定,設備供應商所提供的產品上,不應該搭載OS供應商停止支援的OS。至於設備交付後,如果遇到OS停止支援,在實務上可以搭配其他資安方案來予以補強。

在網路傳輸方面、端點防護、監控/稽核方面,SEMI E187標準也都提出了十分明確而具體的規定。想進一步了解相關規定細節的業界廠商,可以到SEMI官網訂閱這份標準文件,進行深入研究。

工研院資通所組長卓傳育則再次強調建立導入範例的重要性。他指出,要提升半導體產業的整體資安防護水準,除了要有明確可執行的標準,還需要產業鏈中各個環節的成員共同採納跟配合。而提高產業導入意願跟加快導入速度,最好的做法就是建立實際的指引與範例,讓業界有明確的參考基準。若沒有可供參考的實作範例,由於每家業者對標準的詮釋跟理解不一,會在實務上形成不小的障礙。

展望未來,為打造出更安全可靠的半導體環境,SEMI台灣半導體資安委員會除了攜手半導體上下游產業鏈積極推廣標準外,SEMI也將於今年9月登場的SEMICON Taiwan 2022國際半導體展中設立資安專區,並舉辦資安趨勢高峰論壇,面對資安威脅攻擊變化百態,情勢也更加難以預測,特別邀請產業專家分享半導體資安指南、供應鏈數位韌性,更以實例助企業提升供應鏈生態圈的資安防護等議題。

 

若企業有需要多了解設備資安標準及惡意軟件相關的標準或導入服務需求,歡迎與SEMI Taiwan洽詢或上網選購SEMI全套標準。

SEMI Standards Staff

https://www.semi.org/en/products-services/standards/staff-contact

 

Topics: SEMI E187 , SEMI E187 Specification

Search SEMI Blog