串連供應鏈,SEMI E187 如何強化台灣半導體產業資安體質?

作者 | 發布日期 2022 年 12 月 20 日 9:00 | 分類 半導體 , 網路 , 資訊安全 line share follow us in feedly line share
串連供應鏈,SEMI E187 如何強化台灣半導體產業資安體質?


隨著各種新興資安威脅與日俱增,為有效提升資安防禦,所有企業皆十分重視相關資安解決方案與標準規範;而半導體更是台灣產業「重中之重」,資安防護工作更是不容忽視。為此,國際半導體產業協會(SEMI)半導體資安委員會結合產、官、學各界力量,催生半導體晶圓設備資安標準 SEMI E187,期藉此進一步提升台灣半導體供應鏈安全。

工廠智慧化導致資安風險大增

根據統計,資通訊供應鏈攻擊從數量到複雜性都有所增加,美國身份竊盜資源中心(ITRC)指出,2021 年第一季供應鏈攻擊的數量較上季增加 42%;歐盟資通安全局也發現,新興供應鏈有 66% 集中在供應商源碼上。

SEMI 全球行銷長暨台灣區總裁曹世綸表示,網路犯罪越來越猖狂和嚴重,且攻擊目標從早期政府、金融產業慢慢轉移至製造業。原因在於製造業開始數位轉型,原先獨立封閉的工廠開始變成萬物互聯的智慧工廠,使得資安風險大增。

▲ SEMI 國際半導體產業協會全球行銷長暨台灣區總裁曹世綸。(Source:SEMI)

曹世綸指出,製造業已經成為網路攻擊另一個重要目標,而對台灣而言,半導體可說是更是重中之重,不僅是重要經濟來源,同時也在全球供應鏈中扮演關鍵角色;一旦台灣半導體供應鏈受到攻擊,將影響全球半導體經濟。所以,資安自然而然地變成台灣半導體產業重要議題。

曹世綸進一步說明,半導體是個高度分工的產業,不論是設計、製造、設備或材料等,都是透過供應鏈或是生態系統共同完成。而如今萬物互聯世代到來,上下游許多資料都可以互通傳輸,資訊流是互相連結的;這意味著整個供應鏈的資安風險和以往相比有著顯著的增加。

「在這種情況下,一旦某個環節受到攻擊,整個供應鏈都有可能因此停擺。因此,需要一個共同的規範,確保整體安全性。」曹世綸說。

確保半導體供應鏈安全,資安標準是關鍵

為此,SEMI 半導體資安委員會結合半導體產業鏈上中下游及學術研究單位等機構的力量,催生半導體晶圓設備資安標準 SEMI E187。據悉,SEMI E187 設備資安標準網羅四大層面,包含電腦作業系統規範(如作業系統長期支援)、網路安全(如網路傳輸安全、網路組態管理)、端點保護(如弱點掃描、惡意程式掃描、端點防禦機制、存取控制)、資訊安全監控(如 Log 紀錄)。

另外,為防範半導體廠設備被惡意軟體攻擊,SEMI 美國資安標準技術委員會於今年也產出 SEMI E188 惡意軟體攻擊防護標準,透過兩項資安標準相輔相成,共同守護半導體設備資訊安全。

曹世綸指出,訂定 SEMI E187 標準,主要是希望台灣半導體供應鏈能提出更具值得信任的保證,與國外供應鏈接單能確保無虞;且有個統一的標準之後,可讓供應鏈業者更專注於其核心業務上,減少疲於奔命、釐清資安規範的時間。同時,台灣資安服務業者或是資安解決方案供應商也能透過這個規範進入半導體供應鏈,可說是個三贏的結果。

▲ SEMI 制定 E187 標準強化台灣半導體供應鏈資安。(Source:SEMI)

除了訂出 E187 標準,SEMI 也推出了半導體資安風險評級服務,且已正式上線。曹世綸解釋,近年來產業資安意識、觀念慢慢加強,除了風險意識提高也陸續升級資安防護。然而,在資安意識提升的同時卻也有著新的挑戰,那就是各企業的做法、依據皆不相同。

曹世綸說明,各個企業都有自己的資安評估標準,而在標準不一的情況下,供應商會疲於奔命,因為每個客戶要求都不一樣,沒有共通基準能評斷、比較;因而會發生資源重疊、浪費的情況,顯得很沒有效率。

換言之,在資安觀念與時俱進的同時,也要有一個第三方資安風險評估平台,凝聚產業共識,讓企業有個共同基準,如此一來資安發展才有更大的進步空間。

曹世綸透露,所以,SEMI 半導體資安委員會遂開始規劃半導體資安風險評鑑服務,而該服務也已在12 月正式上線。據悉,該服務結合資安風險評估通用問卷及第三方安全態勢風險評分工具兩大系統,透過 Inside-Out、Outside-In 方式,全方位協助企業檢視內部的資安風險現況;藉此服務系統的導入,企業將能夠更即時、全面地掌握資安風險現況,進一步建構並強化資安體系。

曹世綸強調,半導體資安風險評級服務旨在提供一個客觀的驗證方法,確保企業邁向智慧製造時,能夠讓網路防衛能力達到適當安全水平,有助供應鏈合作夥伴提升資安決策效率與防護力,建立台灣半導體產業領先全球的關鍵競爭力。

半導體資安人才難尋,需克服三大挑戰

然而,要強化半導體供應鏈資安,除了要有好的標準及可靠的第三方評鑑服務外,資安人才也是不可或缺。不過,曹世綸指出,如今資安人才難尋,而半導體產業要找人更是要克服三大挑戰。

曹世綸說明,首先是半導體實務經驗不足,多數的人雖然有資安相關概念,但卻缺少在半導體產業的實作經驗;第二是內部人才培訓量能不足,當缺人的時候往往是透過內部培訓,不過目前是連負責培訓的人才量能也不夠。最後,則是人員學習和轉型意願,也就是即便原本是資安領域的人,但卻不願跨足或轉型到半導體產業,畢竟還是有許多學習上的鴻溝(Gap)存在。

曹世綸補充,隨著智慧製造、數位轉型腳步愈來愈快,OT 與 IT 之前的界線越來越模糊,整個工廠環境變得更加複雜,對於資安人才的條件要求也愈來愈多,像是要有 AI 技術、數據分析,或是惡意攻擊判斷能力等。這是產業對於資安人才的期許,卻也意味著在人才的培訓上需要有更多的質和量才能滿足新世代半導體資安需求。

▲ SEMI 透過論壇、研習、會員交流等方式培育所需人才。(Source:科技新報)

那麼,究竟該如何克服?曹世綸說明,政府已將資安列為國家戰略重點,而數位部成立後也對於人才培訓上有著計畫性的推廣。至於從產業務實面來看,就需要和更多專業資安顧問公司合作,透過實驗營、培訓班、教育課程等方式培育更多資安人員。當然,SEMI 也會讓會員分享資安相關經驗,讓企業間能有技能、實務交流經驗,以提升現有資安人員的技術水準。

(首圖來源:Image by xb100 on Freepik)

延伸閱讀: