長期致力推動半導體供應鏈資訊安全的工研院資訊與通訊研究所組長卓傳育,特別分享台灣的護國神山半導體產業,透過推動「全球首個半導體產業資安標準 Semi E187」,為國家核心 GDP 產業再建立一道資安防護,也讓台灣成為全球半導體資安標準規範的重要推手。
台積電三天痛失 25.96 億台幣,開啟半導體資安升級契機
2018 年的台積電並不好過,該年 8 月傳出部分產線機台與電腦系統中毒,不僅打亂生產排程,更讓台積電在三天損失 25.96 億台幣。台積電痛定思痛,開始針對生產流程、供應鏈與企業的資安意識做強化升級。
半導體資安 5 大挑戰,資安防護措施更要謹慎
卓傳育總結因業態特性半導體的資安防護落實門檻高,其中包含 5 大挑戰。一為複雜且昂貴的製程生產機台成本高昂,這些購自日本、荷蘭的機台造價高達數百萬美元,因此廠商為了攤提成本一用就是 2、30 年,但這些機台都還維持著原出場時的系統設定,機台到場安裝時就順便也把漏洞直接安裝到產線內。
半導體製造的業態需求,以良率與生產效能最大化為優先考量,但也因此造成資安第二挑戰。因為產能優先,造成許多機台無法停機檢修或是更新,即使有漏洞也無法補。第三則來自於許多廠內的工控設施,這些工控設備與系統可能透過遠端或是自動控制方式來操作,因此也會變成駭客攻擊的跳板之一。
此外,半導體的機敏資料與專利秘密保護,更是安防的重大挑戰,確保全公司上下的機密資料不因人為因素或是駭客透過社交工程方式竊取,也是目前台積電高度關注的議題。卓傳育也提到半導體的全球化供應鏈生態系綿長,不論是上下游的原物料或是廠商,只要讓駭客找到漏洞都有機會可以癱瘓或是阻礙生產。
全球第一個半導體設備資安標準,出自台灣
有鑑於此,台積電在 2018 年攻擊事件後特別設立資安長,並且拉高資安事項到集團營運層級,逐步拉起安全防線。台積電也協同 SEMI 國際半導體產業協會、工研院、政府單位與產業業者,著手制定 SEMI E187 半導體產業資安標準。
內容針對廠房設備與提供設備、服務的組織制定相關資安原則,並且建立資安導入指南與檢查清單,目標為提升半導體設備的防護能力,包含作業系統要可更新、機台應用程式可自行隔離異常狀況、機台要能自動回報資安事件等,避免任何資安狀況打斷產線運作。
此外台灣 SEMI 也建立一個資安委員會,分成不同工作小組,針對推動資安管理原則落實、企業資安意識落地與評估資安情勢、供應鏈資安威脅等狀況做細部討論。台積電也在這裡發揮產業龍頭角色貢獻許多評估指標、建議有效機制與做法,引起國際關注。
在 AI 世代,駭客變得更加狡猾,不僅反鑽人性的信賴漏洞、既有系統缺失,更會利用新興技術的交互使用來最大化攻擊的成果。半導體業的 OT、IT 環境都需要建立起防護措施與應變流程,才能確保生產不中斷與預防營業秘密外洩。
卓傳育說明,台積電經此經驗,儼然成為全球半導體設備的資安標準重要推手,同時也把台灣帶向全球半導體供應鏈的全新地位。下一步則是要進行更多的全球推廣,甚至要建立更多的情資共享機制、深化產業影響力。