固定於每年第四季左右舉辦的「SEMCON TAIWAN 國際半導體展」可說是產業界的一大盛事,而今年的活動也在 9/14 - 9/16 於南港展覽館完美落幕。現場除了半導體與相關產業廠商參與之外,因為半導體產業的資安議題愈來愈重要,由數位產業署及工業局支持的 SECPASS 資安整合服務平台也沒有缺席,一連三天都準備了豐富的講座與互動活動,吸引了不少參展者前往參與。
今年的 SECPAAS 資安主題館攜手多達 18 間台灣資安廠商共同參與,除了現場的攤位展示,也在展期推出多達五場次的「資安 Pitch Show」,找來資安界的知名廠商代表擔任主講,為大家分享業界最新的資安技術前沿,同時每日也有固定一個場次的「資安小聚」以焦點主題討論方式,邀請具實戰經驗的業界資深專家與談,以實際的案例帶出產業界面對資安威脅的具體解決方案。
在接下來的文章中,筆者就以重點回顧的方式,為大家帶來今年 SECPAAS 資安主題館三個場次的資安小聚報導,內容乾貨滿滿不容錯過哦!
9/14 資安小聚:產線機台資安如何強化?
「資安小聚」稱得上是 SECPAAS 資安館展區每年的重點活動之一,相較於講座展演類型的 Pich Show,資安小聚同一場次集結了眾多產業界與資安領域的專家,透過對談的方式探討不同類型的資安話題,而今年的安小聚主題更偏向實務面,像是展期首日的首場活動,就以業者的「產業機台資安」為主題,帶出廠商在實務上需要面對的重要課題。
在活動一開始,來自華電聯網的陳顗文資深經理提到,產業協會今年因產業署支持紛紛成立資安SIG,並導入SECPAAS資安輔導顧問團服務,希望能將產業的資安的整體架構做好,避免像是前幾年知名半導體廠商因為機台受到勒索軟體入侵而被迫停工三日,造成可觀的營收損失,也影響了下游其他廠商的生產進度,而近幾年的資安事件也持續不斷,再加上物聯網裝置的日益增加,更成為產業不容忽視的重要議題。
與談來賓之一的均豪精密劉中平處長也分享到,面對實質的資安威脅,並響應政府對於產業資安防護的政策推展,公司在多年前就設立了資安委員會,規劃公司整體的資安佈局,同時鑑於先前其他廠商所發生的資安事件,進一步針對自家生產機台進行資安健檢,像是在微軟 Windows 7 作業系統停止維護之後,就全面將系統升級至更新的 Windows 10,以確保未來都能獲得安全性更新。此外,公司生產的資訊類產品,在出貨也經過完整的病毒掃描,以確保資安無虞,相對的,設備進駐廠內時也會要求相同的標準,確保系統本身的安全性與升級規劃,另外公司合作的供應商,也需要通過相關的資安檢核,讓雙方都有保障。
東捷科技的陳志佳資安長也提到,今年初全球首個半導體資安標準 SEMI E187 標準也是公司依循的方向,整個供應鏈也都會符合相關標準的規範,同時也能進一步輔導客戶與供應商都達成合規。陳志佳資安長認為,產業界普遍都對資安防護有一定的意識,但卻不見得知道該從何下手,也因此東捷科技選擇針對 ISO 27001 資安認證來導入,也成為最快、最有效的方式,也讓公司的資訊管理作為能具體提升。當然,除了資安管理的升級,資料的備份也是不可或缺的一環,而且備份的機制也需要有額外的保護機制,才真正有效果,也能讓資安事件意外發生時,能在最短時間內控制好災損範圍。未來均豪精密與東捷科技也將投入SEMI E187合規工作,為相關產業廠商起帶頭示範作用。
禾伸堂的彭志泓資深副理也針對 OT 領域提出經驗分享,在合規的部份最常見的是 IEC 62443 的工業通信網路安全標準,相對更重視產線生產能力的「可用性」,就實際面來說「實體隔離」會是更有效且節約成本的做法,讓不同區域的生產設備群分隔,若是不幸有一個區域發生資安問題,也不至於會影響到其他機台。另外在面對機台更新可能牽涉到硬體是否支援的問題,也可以用「潛水艇」防止船艙進水的策略,針對較脆弱、難以進行更新的機台特別加上防火牆機制,即可避免單一台機台出問題而影響到其他設備。
最後引言人華電聯網的陳顗文資深經理也提到,資安防護的「可視化」非常重要,也因此SECPAAS平台提供的企業資安評級服務,能協助產出具體的分數,更能評估相關投資的實質效益。
9/15 資安小聚:資安標準合規如何達成?
本場活動的引言人吳琇君是半導體界知名的 SEMI 的顧問,SEMI 是整合電子製造與設計供應鏈業者的產業協會,這個重要的組織在全球有多達 2500 家企業會員,並推動相關產業的技術發展,而「資安」也成為其中必不可少的議題。
在主題一開始,TXOne 的劉大川首席解決方案架構師就介紹到 SEMI E187 這個首次由台灣主導的半導體產業設備資安標準規範,明確規範了相關設備在的資安基準,包括產線在作業系統安全、網路傳輸安全、端點安全與資安監測四大要點,像是機台作業系統需要擁有長期支援,網路傳輸過程確保安全性與完整的網路組態管理,另外針對各個連線端點也需要定期進行弱點掃描並有端點防禦和存取控制,在營運時也需要像是 Log 記錄這樣的持續性監控機制。
引言人吳琇君也進一步詢問關於機台交付時的合規是否可以事後補強,劉大川老師也提到「應依資安弱點的層級來判斷」,像是最為重要的作業系統,除了需要能定期更新,在機台上線之前也絕對需要預先安裝最新的安全補強更新,若是中低階的資安風險,可視情況進行以網路層屏蔽的方式來解決。
此外,針對國際上常見的資安政策法規與標準制訂,法國必維國際檢驗集團林上智首席資安專家提到,依據產業屬性的不同,會需要集結不同領域的專家一起盤點企業所有的資產,並進行整體的風險評估,進行威脅建模、脆弱分析與資料流…等層面的綜合考量,並訂定相關風險的降低策略,以 SEMI E187 的規範內容來說會是「基本要求」,而這也是相關法規制定的主要標準,在確保產業界重視資安防護的同時,也保留一定的彈性,讓企業之間能有相互競爭與發揮的空間。
劉大川老師也提到,廠商除了設備進廠時需要有完善的資安檢核機制之外,面對不斷更新的惡意程式、駭客攻擊手法,實務上相關設備都需要進行週期式的檢查,此外若是設備有功能與設定上的改變,都需要再重新做一整套資安檢查流程,再回到生產線上,才能確保設備資安沒有漏洞。
林上智老師也以防疫措施為例,SEMI E187 的標準只是「基本要求」,就像是防止新冠肺炎最基本有效的方式就是戴口罩,但要避免染疫,也會有像是注射疫苗這樣的額外做法可以依循,也建議企業不只單純做到「基本」,而是要進一步提升相關防護的層級,來降低風險。
9/16 資安小聚:機敏資料安全如何管理?
引言人台灣化學產業協會曾繁銘秘書長提到,近幾年不同產業的指標型企業都受到資安攻擊,甚至也有許多企業重要的機敏資料流出,造成專利或技術權利受害,或是近幾年引發產業界震撼的勒索軟體,動輒數千萬、數億元的贖金也會造成企業的重創。因此可以看出不僅止是高科技產業會有資安方案的隱患,甚至傳統產業也不容忽視資安防護的重要性。
與談來賓之一的優勝奈米羅明威副總經理也談到自己的公司在保護機敏資料的方式,由於公司本身是從事以低碳處理科技產品廢棄品,並從中提煉貴金屬的獲利方式,因此公司擁有專利保護的機密配方,在管理上會採用「分散式」管理,也就是不同部門的人員只能掌握配方的其中之一,甚至一些關鍵配方會採用代號來稱呼,避免在溝通時外流重要資訊。
另一為與談來賓中華化學的干凱恩特助也提到,公司曾經發生過營業秘密訴訟的案例,在「血淋淋的教訓」之後,公司也花了更多心力在重要機敏資料的防護機制上,其中網路管控最為重要,像是「手機」就是可能會產生洩密的破口,除了相關設備的管控之外,「人心」會是最難測的,也因此需要更完善的教育訓練,避免員工在碰觸資安紅線的同時而不自知。
專精於技術檢測的三甲科技魏國瑞營運總監提到,資安的整體範疇非常廣泛,包含機敏性、可用性與完整性…等問題,而機敏性的資料保護與企業利益息息相關。但資安防護對於企業來說會是一項投資,自然也會牽涉到「投資效益」的問題,因此許多公司在推動資安時會秉持「先求有,再求好」的心態,初步可能會僅限於防火牆與防毒軟體的建置,而疏於像是人因工程方面的入侵手法,自然成為機敏資料外流的主要原因,若是重要資料沒有額外加密,一般員工也能存取重要的報價單等文件。為了避免「人」的問題成為破口,魏總監也提到員工的訓練特別重要,若企業沒有針對資安防護聚焦,也會建議使用 SECPAAS 資安評級的問卷來自我健檢。
優勝奈米羅明威副總經理也分享過去在資源不足的情況下,比較難去設想到公司的資安防護需要考量哪些層面,在後來接受 SECPAAS 輔導之後,除了能了解資安領域有哪些可以補強的措施之外,也會有更多實際行動的想法。三甲科技魏總監也提到,若是企業自認為是規模不大的中小企業,可投入資安的資源不多,也可以轉而從管理面的改善著手,並尋求像是 ISO 27001 這樣的標準認證,以改善人員管理、文件保護…等層面來衡量可能的做法。
2022年的SECPAAS資安館除了舉辦三場資安小聚主題式座談,也為了大家帶來10場資安Pitch Show分享活動,現場更有11個多元化資安解決方案的展覽攤位,相關報導請看其他T客邦文章。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!