資安威脅無所不在,駭客攻擊目標從以前集中於政府、金融機構,現在的頭號受害者則是製造業,供應鏈攻擊層出不窮,半導體產業亦無法倖免。為更有效提升產業供應鏈安全,催生出台灣首個半導體晶圓設備資安標準 SEMI E187 – Specification for Cybersecurity of Fab Equipment(以下簡稱 SEMI E187),同時也是少數由台灣主導制定的全球性產業標準之一。

SEMI 台灣半導體資安委員會主導,訂定 SEMI E187 標準

SEMI E187 標準的制定耗時 3 年,由 SEMI 國際半導體產業協會轄下的半導體資安委員會,結合產業鏈上中下游、大學、工研院等機構的力量所完成。其中,台積電扮演關鍵角色,以其採購機台設備之多、於半導體產業地位之動見觀瞻,影響力十分強大,許多半導體、資安領域的國內外企業紛紛響應加入,共同參與半導體設備資安國際標準的制定。

這項標準為何重要到讓半導體業界大動員?睿控網安(TXOne Networks)執行長、同時也是 SEMI 台灣半導體資安委員會成員的劉榮太說:「這項標準的建立,猶如建構了一套信賴機制,半導體業者可以相信供應商交出的設備是安全的。」

SEMI E187 使全球半導體設備的資安防護設計有標準可依循;企業在採購設備時也能據此釐清資安要求,避免設備成為資安罩門。

SEMI E187 標準主要是針對機台設備的電腦作業系統、網路安全、端點保護、資訊安全監控等層面制定標準。

「簡單來說,這個標準規定機台不能藏有病毒;必須採用相對新穎的作業系統;各項設定要正確無誤;不要開啟不需要的服務,避免增加攻擊弱點;以及機台要提供加密管道,不能採用危險的明碼傳輸等,」劉榮太歸納這些要求的目的,「供應商必須提供可以防護的機台。」

打造安全設備,台灣半導體設備商可望突破外商壟斷!

SEMI E187 已於今年(2022)1 月正式推出,為了進一步落實此項標準,SEMI 台灣半導體資安委員會投入大量心力進行條文的詳細解釋、實務工作程序的建立,協助全球供應商者在充分了解標準內容後,製造出符合半導體製造業要求的設備。

劉榮太指出:「台灣半導體產業在全球的重量級地位已是毋庸置疑,因此這個標準推出後,全球設備廠商,包括美日業者都急於從 SEMI 得到詳細資訊,想要知道這個標準對於他們未來交付機台有何影響。

去年(2021)台灣半導體晶圓廠的設備投資金額約為新台幣 7 千億元,其中有 6 千億元是採購國外設備。「在外商幾乎壟斷台灣半導體設備市場的情況下,我認為『資安』可以是台灣設備廠商的突破點,」劉榮太指出,當各家機台的其他規格皆符合採購方要求時,誰在資安方面做得更好,誰就更有希望拿下訂單。

SEMI E187 由台灣制定,我們的說明會也是先從台灣開始,所以台灣設備業者能較其他國家業者更快拿到第一手資訊,值得好好把握。

SEMI 台灣半導體資安委員會 4子群各司其職,持續投入資安改善

針對半導體產業的資安改善, SEMI 台灣半導體資安委員會長期投入,設有 4 個子群,分別是:參考架構的提出、資安認知的推廣、供應鏈的資安態勢評估,以及其他產業資安標準的觀察及擷取。

「針對 SEMI E187 要求半導體設備需採用相對新穎的作業系統,負責參考架構的子群,要提出目前有哪些作業系統較為適合,」劉榮太進一步說明。

資安認知的推廣方面,主要工作為發布季度報告,讓會員了解重大資安事件及防護新觀念,此外還要舉辦說明會及研討會等,透過各種管道強化業者的資安意識;供應鏈的資安態勢評估方面,則是透過問卷調查、分析工具的使用,協助廠商了解自己的資安風險。

針對其他產業資安標準的觀察及擷取,劉榮太說明,此一子群主要評估其他資安標準,例如美國的 NIST CSF 資安框架等,是否有半導體產業可以借鏡及直接擷取的部分,避免「重新發明輪子」的徒勞無功及浪費時間。

「經由這 4 個子群的任務分工,半導體資安委員會採用現成可行、內化、評估、新納入等 4 種方法,持續優化半導體產業的資安能量。」劉榮太說。

睿控網安(TXOne Networks)執行長劉榮太,同時身兼 SEMI 台灣半導體資安委員會成員。

SEMI 半導體資安委員會於 2021 年成立,參與成員包含台積電、台灣應材、日月光、鴻海、微軟以及思科等大廠。期盼在近年網路威脅日益嚴峻的情況下,整合產、官、學、研力量建立有韌性的半導體供應鏈,全面實踐產業的資訊安全。

同時,SEMI 也將於今年 9 月登場的 SEMICON Taiwan 2022 國際半導體展中舉辦資安趨勢高峰論壇,面對資安威脅攻擊變化百態,情勢也更加難以預測,特別邀請產業專家分享半導體資安指南、供應鏈數位韌性,更以實例助企業提升供應鏈生態圈的資安防護等議題。

(本文提供合作夥伴轉載。)