歐美企業無不注重的供應鏈安全,台灣 TÜViT 顧問服務如何助台廠做好準備?

作者 | 發布日期 2022 年 03 月 14 日 8:00 | 分類 封裝測試 , 晶圓 , 資訊安全 Telegram share ! follow us in feedly


隨著雲端運算、AIoT 智慧物聯網、工業 4.0、金融科技與自駕車等熱門應用興起,也帶起各種 IT、工控、車輛與供應鏈安全問題。而打從 2010 年爆發 Stuxnet 超級蠕蟲攻擊伊朗核電廠以來,供應鏈安全問題更開始浮出檯面,並在隨後 2015 年的烏克蘭大停電事件,以及造成至少 200 家美國政府機構與企業資料外洩的 SolarWinds 攻擊事件中達到前所未有的高潮。這說明了,自 Stuxnet 攻擊事件爆發之後,供應鏈早已成為駭客發動有效攻擊的最佳目標。

供應鏈安全問題起,業界主流資安標準認證潮來襲

供應鏈安全問題,不但凸顯出供應鏈上脆弱的環節(缺乏安全控制機制的小型合作夥伴),也促使各產業將安全控制與防護的焦點,開始從產品、場域等實體面的安全,擴大延伸到人員與作業流程面的安全,以全面消除任何可能被駭客利用的漏洞。為了加強不同產業的供應鏈安全性,各國政府也開始提出相應的合規要求,包括強調 IT 安全的 ISO 27001、訴諸工控安全的 IEC 62443、聚焦車輛網路安全的 ISO 21434,以及標榜個資隱私安全的 ISO 27701 與「歐盟一般資料保護規則」(GDPR)。

台灣漢德公司 IT 事業群協理林家弘表示,專門提供測試、評估及顧問服務的台灣 TÜViT,已將服務版圖從半導體、網通與製造業,進一步擴展到金融與工控供應鏈領域,其提供的資安標準合規服務,除了上述列舉的國際資安標準外,還包括德國聯邦資訊安全局(BSI)的基本 IT 防護標準、「資訊安全共準則」(Common Criteria, CC)、美國國家標準研究院(NIST)的 FIPS 140-3 標準、全球移動通信協會的 GSMA、網路身分識別 FIDO(Fast Identity Online)及 EMVCo 金融國際資安標準等。

為了協助產業成功取得各種國際資安標準認證,以便快速回應這些挑戰,自 2021 年下半年起,台灣 TÜV NORD 與台灣 TÜViT 開始進行精準分工的亞太市場布局規劃,由前者專門負責稽核/發證業務,後者則全力聚焦在顧問服務上,藉此進一步為客戶提供一條龍式的專業資安驗證服務,共創一加一大於二的實質效益。

協助全球晶圓代工與封測巨頭取得場域認證

林家弘表示,針對場域安全,台灣 TÜViT 協助許多半導體業通過許多 CC(亦即 ISO/IEC 15408)標準認證。基本上,CC 力求確保整個產品開發生命周期與生產過程所有環節的安全無虞。但 CC 要求開發場域必須進行實地稽核,如此一來,就會有必須針對不同客戶的安全產品,分別取得 CC 實地稽核驗證的麻煩。

為了解決這個問題,BSI 特別制定了場域驗證(Site Certification)規範,這使得產品開發場域可以更方便又省時地單獨取得安全評估認證。台灣 TÜV Nord 自 2014 年開始在台推廣 CC 標準及 BSI 場域驗證服務,目前協助取得場域認證的廠商包括:台積電、聯電、日月光、矽品、京元電、聯芯、艾克爾、閎康、矽格等等,換言之,全球晶圓代工市占第一、第三,以及全球前兩大封測廠皆已取得該認證。再者,TÜViT 另外也有自行定義與發證的 Trusted Site Infrastructure (TSI)標準,以協助客戶進行實體安全及資料中心可用性之驗證。

隨著車輛網路安全標準 ISO/SAE 21434 正式於 2021 年 8 月底發布後,該標準也成為相關產業爭相取得的重要認證標的。日月光高雄廠在標準發布後三個月通過德國 TÜV NORD 認證,成為全球第一家取得 ISO/SAE 21434 標準的封測廠。

樹立亞太區指標性工控系統安全認證通過之最佳典範

再就 IEC 62443 標準來說,其為國際標準協會(ISA)和國際電工組織委員會(IECEE)所推行的工控資安標準,凡遵循該標準準則的企業產品,可大幅降低網路攻擊的可能風險。其中最難能可貴的是,國內工業電腦龍頭研華科技先後於 2020 年及 2021 年經由取得 IEC 62443-4-1  產品安全開發制度認證及 IEC 62443-4-2 工控產品安全認證,確保流程驗證與產品驗證皆符合安全規範。此外,網通品牌 D-Link 也於 2020 年取得 IEC 62443-4-1 認證。

林家弘表示,根據 IEC 官網指出,全球通過 IEC 62443-4-2 認證的 IC 設計廠商不超過 100 家,所以研華成功取得該認證極具指標性。事實上,TÜV NORD 締造多次協助客戶取得全球第一張特定標準證書的紀錄。2018 年,TÜV NORD 便發出全球第一張 IEC 62443 證書,台灣 TÜV NORD也早在2018年獲得亞洲第一間獲 IECEE 認可的 IEC 62443 驗證機構測試實驗室(CBTL)。

隨著供應鏈安全風險的不斷攀升,資安防護的範疇不再僅限 IT,尤其在台積電要求與其合作的服務供應商皆需遵循 ISO 27001 標準之後更是如此,如今橫跨 IT、工控、自駕車乃至不同產業皆有資安防護與控制的急迫需求與必要性。「多年來我們致力於將不同產業的資安成功經驗,套用在不同領域客戶群上,進而有效縮減安全認證取得的時間與成本,」林家弘指出。「我們扮演了客戶與國際資安標準之間的強力連結角色。」 

顧問諮詢與稽核/發證的專業分工,助攻廠商降低時間與成本

台灣 TÜV NORD 與台灣 TÜViT 是隸屬德國 TÜV NORD 集團旗下四大品牌事業體(TÜV NORD、DMT、ALTER和TÜViT)的台灣分支機構。擁有 150 多年歷史的 TÜV NORD 集團,在全球 100 多國設立營運辦公室,由超過 14,000 名員工提供測試、檢驗、認證、顧問諮詢、工程及訓練等專業服務。

1995 年於德國 Essen 成立的 TÜViT 即為以 IT 安全為主軸的品牌事業體,該事業體並成為德國 BSI 認可的全球前兩大晶片領域實驗室。談到晶片設計,台灣實力名列世界前茅,這也成了台灣 TÜViT 推展相關服務的一大利多。值得一提的是,為了落實專業分工,台灣 TÜViT 自 2021 年下半年起便全面聚焦在測試、評估與顧問諮詢服務上,以便與專責稽核、發證業務以扮演認證機構(Certification Body, CB)角色的台灣 TÜV NORD 有所區隔。

台灣 TÜViT 與台灣 TÜV NORD 之間既能專業獨立分工,又能相互靈活搭配,為客戶提供能發揮一加一大於二顯著效益的一條龍驗證服務。比起四大會計事務所及其他顧問公司會由旗下資安部門搭配外部 CB 認證機構的作業模式,更能展現大幅降低從初期資源狀況/需求訪談、專案規劃、教育訓練、技術文件準備、現場稽核/驗證/測試報告等作業複雜度、時間與成本之效益。

台灣 TÜViT 有來自德國總公司的強力支援,包括長久累積的雄厚成功案例經驗與完整的技術資源,此外台灣分公司也不時派員前往德國接受各種專業訓練,近來更有新進評估師(Assessor)與發證官(Reviewer)等顧問人員的加入。更重要的是,繼 CC 資安產品檢測實驗室、FIPS 140-3 密碼模組檢測實驗室及 StarAudit 雲服務驗證稽核機構之後,台灣 TÜViT 將於今年 2 月底或 3 月初成立 FIDO 檢測實驗室,如此一來,不但讓自家服務更加全面與完整,更十足展現無與倫比的技術能量與服務專業度。

展現無與倫比技術能量,三大資安標準檢測實驗室齊出擊

當前台廠除了尋求台灣 TÜViT CC 資安產品檢測實驗室的協助,以便在產品發布前獲得 CC 證書之外,更需要生產場域的安全認證,因為這已成為歐美買家必定要求的資安基本條件。台灣 TÜViT 與德國 TÜViT 已陸續協助亞太地區 12 家半導體客戶(超過 20 個廠區),取得德國 BSI 在 CC 場域安全認證之證書。不僅如此,台灣 TÜViT CC 資安產品檢測實驗室還是 NCC 通傳會轄下全國認證基金會(TAF)第一間認可的外商 CC 檢測實驗室。

確保產品安全的另一個重要標準是美國聯邦標準資訊處理標準(Federal Information Processing Standards, FIPS),目前美國政府要求密碼模組/密碼加速器開發商所售出的任何軟硬體產品,皆須支援 FIPS 140-3(目前最新版本)認可的演算法。而全球被 NIST 認可的 FIPS140-3 的密碼模組實驗室約有 21 間,台灣 TÜViT 即為台灣地區唯一的一間。

此外,隨著全球各地持續籠罩在新冠病毒與變種疫情的陰霾下,人們日常活動,舉凡辦公、學習、交易、購物及娛樂莫不移至線上進行。為了解決線上金融服務的身分驗證問題,降低人們對安全性不足密碼的依賴性,並提升線上認證安全與便利兼顧的體驗度,FIDO(Fast Identity Online)標準開始蔚為身分認證的新主流。透過 FIDO,使用者資料不再保存至網路伺服器端,而是硬體裝置,因此能大幅降低資料被竊的可能風險。針對這個標準,台灣 TÜViT 自去年第四季開始便著手 FIDO 檢測實驗室的申請作業,預計成立之際也將寫下全台第一間 FIDO 實驗室的新紀錄,屆時客戶就不再需要耗時費錢遠赴海外申請。

成為亞太區廠商在地最佳資安認證夥伴

目前台灣 TÜViT 所提供的資安標準合規服務,在原有的 BSI、CC 及 NIST 標準基礎下,更進一步擴展了諸如 ISO/IEC、歐盟、網路與金融等更多國際資安標準,這讓亞太區半導體、工控、網通及製造業廠商只需透過單一窗口便能享受各種當前主流資安標準的國際級專業顧問諮詢服務,進而協助客戶的資安流程、生產場域及產品安全皆能符合產業需求與國際資安標準。

林家弘表示,台灣 TÜViT 會將上述專業資安服務能量進一步橫向擴展至金融、銀行、學校、醫療及車載資通訊領域,特別是自駕車及晶片安全,進而成為廠商的專業資安團隊與在地最佳夥伴。

(圖片來源:Shutterstock)