28 日才在 SEMICON Taiwan 2021 國際半導體展上正式發布 SEMI 首個半導體晶圓設備資安標準,希望藉由整合產、官、學、研力量建立有韌性的半導體供應鏈,全面實踐台灣及全球產業的資訊安全之後,29 日隨即遭到爆料指出,SEMICON Taiwan 2021 國際半導體展的報名系統,其網域註冊商為中國的阿里雲(Alibaba Cloud Computing Ltd),而且網域註冊地在中國的情況,引起許多人關切。
根據網友提供的資料指出,在進入 whois365.com/tw 全球 WHOIS 的查詢之後,在其中登錄查詢 SEMICON Taiwan 2021 報名系統的網址 https://semiexpo.expotec.tech/visitor/personal/login?lang=en-us#email 之後,就會出現其一連串的訊息。而在這一連串的訊息當中可以看出,該網域的註冊商為中國阿里雲,註冊人州/省為上海 (SH),註冊人國家/地區則是中國 (CN)。對此,相關資安專家表示,這樣的情況可能是 SEMICON Taiwan 的委外廠商偷懶或疏失所造成,而 SEMICON Taiwan 方面則不一定清楚這情況。
不過,資安專家強調,就現階段的情況來分析,相關主辦單位租用中國阿里雲的情況可能是為求方便的做法。而這樣的情況如果其使用者如果非國內的金融單位,或是政府單位來使用,則目前沒有嚴格的管制。只是,負責執行的單位在為貪圖方便的做法,一旦長此以往,未來難保不會在不能進行相關做法的企業或相關單位上也比照辦理,以致成為相關資安問題的缺口。所以,就這個角度來觀察,有必要進一步進行整體流程的管理查核工作。
事實上,本屆 SEMICON Taiwan 2021 國際半導體展正發布 SEMI 首個半導體晶圓設備資安標準(SEMI E187 – Specification for Cybersecurity of Fab Equipment),同步於會上舉行半導體供應鏈資安聯盟啟動儀式,包括台積電、日月光、台灣應材等國內外企業與經濟部工業局首長都現身參與的情況下,針對半導體產業的資訊安全應該更加慎重才是。因此,針對這類的作業上的問題,市場人士建議,未來有必要進一步進行相關的查核,以降低有資安問題的風險。
(首圖來源:semi 提供)
