臺灣是全球半導體產業的重鎮,在保障全球供應鏈資安的前提下,2022年1月發表全球首個半導體資安標準- SEMI E187至關重要,數位產業署開始攜手SEMI、產業公協會等等協助半導體產業導入,在提升半導體業者的全球佈局韌性外,也為資安產業創造新藍海。
隨著全球進入後疫情時代,各產業仍然陷入晶片供應不足的困境,也讓2022年9月14日起舉辦的SEMICON Taiwan國際半導體展,成為世界最關注的科技盛會之一。在數位發展部數位產業署(以下簡稱產業署)支持下,SECPAAS在SEMICON Taiwan 2022國際半導體展中設立資安主題館,並將參展重點放在SEMI E187要求之合規方案,以及展示半導體產業實績案例。在資安主題館中,除有多家資安廠商展示各種解決方案外,亦舉辦資安主題分享、跨界專家對談、互動遊戲、集客活動等活動,協助與會人士掌握供應鏈資安技術、國際資安標準等最新趨勢。
為持續協助半導體產業提升資安韌性,產業署在SEMICON Taiwan 2022國際半導體展期間,於9月14日舉行半導體設備資安推動誓師大會。蒞臨現場的來賓包括SEMI國際半導體產業協會蘇貞萍資深總監、SEMI台灣半導體資安委員會張啟煌委員、TEEIA台灣電子設備協會林士青理事長、TPSA台灣顯示器暨應用產業協會李允立常務理事等公協會代表、工研院資通所黃維中副所長,還有已經著手實作的半導體業者均豪精密工業、帆宣系統科技、東捷科技、泓陽科技、志聖工業、盟立自動化、京鼎精密科技、凱諾科技等設備商代表出席。
產業署署長呂正華說,臺灣是全球半導體產業的重鎮,在晶圓製造、封測等領域市佔率全球第一,更為世界生產高達92%尖端晶片,在IC設計領域則是全球第二,也吸引全球各領域供應鏈爭相與臺灣半導體產業合作。面對日益嚴峻的資安威脅,臺灣也不吝嗇貢獻全球首個半導體資安標準SEMI E187,除協助半導體產業免於資安威脅之外,也全力促進資安產業國際化規模,期盼協助臺灣資安業者在國際舞台嶄露頭角,進而帶動資安產業持續成長。
SEMI E187問世,共創半導體、資安雙贏
回顧2018年,知名晶片代工業者因設備被植入惡意程式,最終導致產線停工24小時,整體營運損失高達數十億元以上。由於半導體產業有其獨特性與專業知識,難以全面套用傳統資安標準與規範,於是在產業署與經濟部工業局攜手合作下,協同臺灣半導體產業的力量,共同推動第一個由臺灣主導的半導體設備資安標準SEMI E187,實現半導體與資安產業雙贏。
在兩大部會與臺灣半導體產業齊力合作下,2018年即成立SEMI資安工作小組,2019年工作重點則從凝聚產業共識著手,且聚焦作業系統規範、網路安全、端點安全、資訊安全監控等規範要求。除此之外,2021年6月更成立SEMI資安委員會,最終於2022年1月正式公告SEMI E187。
呂正華指出,我們推動SEMI E187標準的目標,不光是要保障半導體產業的供應鏈資安,也是希望能提升半導體產業的全球佈局韌性,乃至於創造資安產業新藍海。為協助半導體業者導入此標準,我們除透過推出鏈結補助計畫,協助設備業者導入此規範之外,亦已在台南沙崙創新基地建置半導體設備資安方案體驗基地,讓業者能預先深入了解相關法規與資安方案,作為後續導入專案的借鏡。
借重公協會力量,全力落實SEMI E187
前面曾經提到,SEMI資安委員會制定SEMI E187時,主要是聚焦半導體設備OT治理思維,所以此方案設計之初即涵蓋作業系統規範、網路安全、端點安全、資訊安全監控等四大面向。在作業系統規範部分,主要是要求用戶需使用可更新及漏洞修補之作業系統,在端點安全方面,則需要定期弱點掃描,並建立可對抗勒索病毒之安全機制。在網路安全部分,通訊傳輸須採用安全協定,並針對高風險的通訊協定,如網路芳鄰等進行控管。最後,在資訊安全監控部分,則需支援資安事件記錄與管理機制,便於在爆發資安事件時可進行回溯。
產業署認為要加速推動臺灣半導體產業引進SEMI E187,不能單靠公部門、SEMI資安委員會,而需要進一步透過與產業公協會合作,如SEMI、TSIA臺灣半導體協會、TEEIA臺灣電子設備協會以及TPSA臺灣顯示器暨應用產業協會等,從收集產業的意見與回饋著手,並對重點業者進行輔導。搭配產出參考實務指引、辦理工作坊/研討會、提供顧問咨詢與資源媒合、建置資安展演/體驗基地等作法,共創半導體製造業者、資安業者、半導體設備業者等三方共贏的局面。
「以某知名臺灣半導體設備廠商為例,便透過專案輔導從前述四大方向,逐步導入國產資安合規方案,建立資安稽核管理輔助系統、身份辨識與特權管理等系統,達成強化整體資安防護力的目標,最終順利爭取到國際大廠訂單,堪為其他半導體設備商參考。」呂正華解釋:「另外,我們也在沙崙資安服務基地建置SEMI E187合規方案體驗專區,展示各家資安業者的各種防護方案體驗,以及攻擊腳本的展示,讓企業在面臨駭客攻擊當下,能在第一時間採取正確的防禦策略。」
匯集18家資安業者能量,SECPAAS資安主題館吸引目光
由產業署支持的SECPAAS資安主題館,今年共邀請鴻璟科技、眾至資訊、幻雲資訊、台眾電腦、杜浦數位安全、智弘軟體科技、雲智維科技、三甲科技、捷而思、全景軟體、盧氪賽忒、椰棗科技、中華資安國際、來毅數位科技、奧義智慧科技、睿控網安、博斯資訊安全、精品科技等18家臺灣具自主研發能量的資安廠商參與,透過攤位展示、主題分享、影片輪播及DM發放等方式,推廣有助於SEMI E187合規、供應鏈安全強化的國產資安解決方案,展示臺灣資安產業的技術能量。在現場的攤位中,展示的主題包括:
- 鴻璟科技:半導體產業之端點防護
- 眾至資訊:ShareTech內網& OT資安縱深解決方案
- 幻雲資訊:端點網路安全與管理解決方案
- 台眾電腦/優倍司:「UPAS NOC」NAC ITAM單一平台解決方案
- 杜浦數位安全:ThreatSonar Anti-Ransomware
- 智弘軟體科技:ANCHOR特權帳號管理與稽核平台
- 雲智維科技:網路維運與資安強化委外服務
- 三甲科技:AAA資安健檢快易通
- 捷而思:SEMI 身分認證與授權解決方案
- 全景軟體:全景IoT安全晶片打造零信任
- 盧氪賽忒:ArgusHack次世代入侵與攻擊演練策略平台
在產業署的規劃中,2023年將從兩大面向著手,首先將全力輔導指標業者,建立標準落實示範案例、產出最佳操作實務,作為其他業者導入的參考。第二項工作將為SEMI E187訂定驗證標準,並全力推動認證機制,吸引更多半導體產業導入SEMI標準。藉由前述兩大面向的搭配,產業署有信心讓臺灣廠商成為國際供應鏈可信賴的合作夥伴,並促進臺灣資安產業進軍國際市場,搶攻全球的資安商機。