在今年國際半導體展SEMICON Taiwan 2021期間,SEMI全球行銷長暨台灣區總裁曹世綸宣布,半導體晶圓設備資安標準(SEMI E187 - Specification for Cybersecurity of Fab Equipment)將於2022年1月正式上架,這是首次由臺灣主導制定的半導體國際標準,顯示臺灣半導體在全球的影響力,以及資訊安全迫切的需求。(攝影/羅正漢)

近年來,半導體產業的資安議題備受關注,協助產業機臺安全的半導體產業資安標準,歷經三年制定,確定將於2022年1月正式發布,但,這其實只是第一步,未來將透過SEMI資安委員會的推動,讓標準能夠落實,並期盼這樣的資安標準,進一步能擴及更多高科技相關產業。

今年的國際半導體展SEMICON Taiwan 2021,除了第三代化合物半導體、先進製程、智慧製造、綠色製造等重要議題,資安也成要角,不僅資安展區規模逐年擴大,在12月28日並舉辦了半導體資安標準SEMI E187的發布會,受關注的是,這是首次由臺灣主導制定的半導體國際標準,別具意義。

從資安切入!臺灣第一次主導制定半導體相關國際標準

SEMI全球行銷長暨台灣區總裁曹世綸表示,面對後疫情時代,半導體產業在全球扮演不可或缺的角色,臺灣處於產業供應鏈中的關鍵地位,更受矚目的是,SEMI制定標準已有50年之久,這次,首次由臺灣主導制定的半導體國際標準,相當具代表性,在在顯示臺灣半導體行業在全球的影響力,也突顯了對於資訊安全迫切的需求。

如今,這個半導體資安標準將於2022年1月正式上架,將從原本案號6506C的草案,正式發布成為「SEMI E187 - Specification for Cybersecurity of Fab Equipment」標準。

基本上,標準內容涵蓋四大層面:包括作業系統規範、網路安全相關、端點保護相關,以及資訊安全監控。簡單來說,也就是聚焦作業系統的長期支援、網路傳輸安全、網路組態管理、弱點掃描、惡意程式掃描、端點防禦機制、存取控制,以及Log記錄等面向。

2018年台積電機臺中毒事件,催生晶圓廠設備資安標準

之所以制定這項半導體資安國際標準,要從三年前說起,在2018年8月,台積電遭遇電腦病毒感染、部分電腦與機臺受影響的事件,讓高科技業機臺資安問題浮上檯面。

例如,設備昂貴需30年來攤提成本,但使用的電腦作業系統,是早已終止支援的Windows XP作業系統等,除了更新修補不易,傳統實體隔離的作法,在智慧製造浪潮之下,也難以落實。

為了因應這樣的局面,自2018年9月,由台積電大力推動、在SEMI國際半導體組織標準平臺下,籌畫資安工作小組,由台積電部經理張啟煌與工研院資通所副組長卓傳育共同主持(TF),以制定標準草案範疇。

當時,iThome在兩年半前即開始關注這項標準的制定,並持續追蹤報導,在2020年底一度傳出將有結果,終於在歷經多次來回提交SEMI修改後,現在標準終於確定出爐。

特別的是,過往我們對於上述資安工作小組的個人成員,僅知道是來自許多國內多家業者共同參與這項國際標準制定,包括,台積電、日月光、聯電、力積電(當時力晶),以及工研院,還有微軟、趨勢科技等,但沒有特別清楚。根據工研院的說明,為了促使標準草案成形,這個工作小組的參與成員,集結了許多半導體業、設備商與資安公司的專家,包括聯電、日月光、力積電、南亞科、台灣應用材料、台達電,以及精品、安華聯網、奧義智慧、華電聯網、全景、尚承、擎願、四零四科技、捷而思、台灣檢驗科技與神盾等,早期還有Intel、華邦電、趨勢科技、IBM、TEL、Cimetrix與SGS,當中大半都是來自臺灣,之後草案並經過SEMI全球的標準技術專家審核,將標準文件落實。

對此,身為SEMI資訊與控制標準技術主席,也是台積電部經理的游志源指出,這相當具代表性,因為是臺灣半導體產業共同努力完成的第一條資安標準,並已付諸實現。

延伸閱讀:台積電產線中毒大當機事件簿(Day1~Day4時程懶人包)
延伸閱讀:生產機臺安全亮紅燈,防護威脅迫在眉睫
延伸閱讀:臺灣帶頭推動半導體資安標準,解決高科技產業資安防護難題
延伸閱讀:國際半導體展首度談資安,工作小組揭露推動資安標準現況

關於半導體晶圓產線設備資安標準SEMI E187的制定,背後的推手,就是在2018年9月,由台積電部經理張啟煌(左)與工研院資通所副組長卓傳育(右)共同主持的SEMI資安工作小組,這個工作小組的參與成員,也包含場中來自臺灣多個半導體科技大廠與資安業者的專家們。(攝影/羅正漢)

半導體資安標準只是開始,SEMI資安委員會將推動全面落實資安與供應鏈安全

儘管SEMI E187標準規範的發布,可望成為全球半導體設備的最低門檻,但是,標準制定完成,只是推動半導體產業資安的第一步。

為何這樣說?因為有了標準,後續還要進行標準落地與相關推廣,才能讓產業資安水準真正提升,這也是為何在2021年6月成立SEMI資安委員會的原因。

有了SEMI E187的規範,SEMI資安委員會主席暨台積電企業資訊安全處長屠震表示,企業除了要顧好自己的資安問題,也一定要協助上下游合作夥伴,協力做好資安。

過去,我們看到台積電已經這麼做,設立供應商資訊安全協會,現在他們也將相關經驗,帶到全球半導體產業。

對於標準制定的好處,屠震說明,對於全球供應商而言,在設備的資安防護設計上,將能有所依循,對於企業而言,在設備採購合約上,也能以此標準作為資安要求。長期來看,除了確保晶圓廠機臺設備安全,也將帶動上游產業對設備安全品質的重視。

隨著SEMI晶圓設備資安標準的正式建立,屠震強調,資安標準只是第一步,接下來如何徵詢與採用更是關鍵。他指出,SEMI全球第一個資安委員會已成立,主要研討供應鏈資安面的重要議題,現在將聚焦以下4個重點:首先制定參考架構與解決方案,以協助標準的推廣與導入;第二,加強資訊安全的意識宣傳與推廣;第三,做到如何有效評估資訊安全等級與成熟度;第四點是長遠的計畫,將基於國際標準評估SEMI供應鏈資訊安全的風險,並建立長久的資安策略。

同時,現場許多資安委員會與工作小組成員也表示,這項標準只是第一步,後續還有許多工作要進行,包括具體的規範內容、認驗證制度的建立,以及完成第一家通過認證標準的設備商等。這也意味著,資安標準的制定確實帶動產業達到新的里程,但後續的任務要能接續發展,才能讓整體所談的資安落實,以及供應鏈安全推動,能夠真正深化到半導體產業之中。

目前,這個SEMI資安委員會的參與成員,包含來自台積電、台灣應材、日月光、富士康、思科、奧義智慧、戴夫寇爾、富士康、工研院、科林研發、微軟、台灣迪恩士半導體、睿控網安、聯電與台灣韋萊韜悅的意見領袖。

SEMI資安委員會主席暨台積電企業資訊安全處長屠震表示,這項資安標準的建立只是第一步,隨著SEMI全球第一個資安委員會成立,接下來,將聚焦4大重點面向,除了制定參考架構與解決方案以協助標準的推廣與導入,加強資訊安全意識的宣傳與推廣,有效評估資訊安全等級與成熟度,未來,還要基於國際標準評估SEMI供應鏈資訊安全的風險,並建立長久的資安策略。(攝影/羅正漢)

關於SEMI資安委員會的任務,在前兩個月的SEMICON Taiwan線上資安趨勢高峰論壇上,SEMI資安委員會主席暨台積電企業資訊安全處長屠震已闡明作法,其中推動半導體供應鏈網路安全意識是一大重點。例如,將參考台積電先前的作法,SEMI資安委員會將從2021年11月起,每季度發布SEMI資安更新電子報(Cybersecrity Update Newsletter),讓資安意識與防護相關資訊都能宣導到所有SEMI會員。

另外,不只是半導體產業需要資安,希望帶動更多高科技產業也這麼做。經濟部工業局電子資訊組林俊秀組長指出,國內半導體產業與國際大廠有很密切的合作,而這些國際品牌大廠通常主導了許多標準制定,因此也會要求自身供應鏈的廠商,需符合相關規範,包括環保與勞工權益層面,現在資安也將納入。

因此,要維持臺灣在ICT產業的競爭力,資安已是不可或缺的要素,未來更希望不只是半導體的資安標準,還要擴散到其他產業,讓臺灣所有行業都做到資安。

SEMI國際半導體展,資安能見度更提升

今年國際半導體展實體展於12月28日到30日舉行,不僅規畫了資安專區,而且相較於往年,資安主題館的規模更擴大。本次活動,有多家資安業者設置獨立展區,例如睿控網安、奧義智慧、中華資安國際、數聯資安等品牌,以及德國萊因TÜV驗證檢測公司,還有工研院設立的SECPAAS展區,邀請國內多家資安業者參與,包括全景軟體、來毅數位科技、精誠資訊、眾至資訊、庫柏資訊軟體與I·X Trio,以及宏數創意、中華龍網、安華聯網科技、杜浦數位安全、竣盟科技、匯智安全科技等資安廠商,並邀請MIH、台灣思科、韋萊韜悅、FIDO台灣分會、憾訊科技與建迪企業等產業代表分享資安經驗與觀點。特別的是,現場還設置了建立資安觀念的線上遊戲攤位,現場觀眾可參與iThome設計的釣魚剋星答題遊戲,增進對於釣魚郵件的識別能力,也能參與奧義智慧設計的資安攻防桌遊,學習運用CDM安全模型,來建立防禦面向的概觀。

此外,這場活動這幾年來也有資安相關議題的演講,除2020年推出晶片資安論壇,在稍早舉行的2021年線上國際論壇期間,也舉辦聚焦供應鏈安全的資安趨勢高峰論壇。

延伸閱讀:臺灣成半導體產業資安主要推手,SEMI臺灣資安委員會今年成立
延伸閱讀:歷經三年制定,台積電透露半導體資安標準將在今年12月發布
延伸閱讀:推動半導體供應鏈網路安全意識,11月起SEMI資安電子報每月發布
延伸閱讀:供應商安全狀況需透明化,半導體產業應構建供應鏈資安評估方法


熱門新聞

Advertisement