被喻為台灣護國群山的半導體供應鏈,每年為我國創造超過新台幣 4 兆元的產值,今年更是預期能夠突破 5 兆元大關,毫無疑問是國內舉足輕重的產業,也正因如此,由台灣所主導的「SEMICON Taiwan 國際半導體展」在科技界也極具影響力,而今年也在 9/4 至 9/6 之間在南港展覽館一、二館匯聚國內外重量級廠商,針對技、人才與規格標準進行深度交流,促進產、官、學、研等不同領域的整合,進一步為產業帶來更多發展機會。
本文目錄:
對於半導體產業來說,透過 AI 技術輔助、智慧化生產提升效率的同時,也絕對不容忽視「資安威脅」的風險。由數位發展部數位產業署支持的SECPAAS平台,持續扮演產業界資安推手的角色,一樣在今年 SEMICON Taiwan 打造 SECPAAS 資安館,集結多達 13 間合作廠商,聚焦工控資安防護技術,協助半導體業者通過 SEMI E187 國際標準,並協助 OT 環境的資安防護升級,以及推廣透過 PQC 資安提升防護強度。
資安小聚座談帶來最新資安趨勢
而今年 SECPAAS 資安館也同樣在展期邀請到國內資安專家,透過主題討論的「資安小聚」活動,為大家分享供應鏈資安防護、設備合規…的實務案例,讓相關業者能了解到產業最新趨勢。而本文將帶來今年兩個場次的資安小聚活動的精華重點整理,最新、最重點精要的資安解決方案都在這裡!
9/4 資安小聚 A:供應鏈安全,從零信任資安做起
今年的 SECPAAS 資安館的展出主題包括了工控資安防護技術、半導體設備合規以及最新的後量子密碼學(PQC)新標準在加密的實際應用方式…等,作為廠商、從業人員改善資安防護層級的參考。除了展出內容,採用專家對談形式的「資安小聚」也是每年的重頭戲,並吸引參展者駐足聆聽。
在 SEMICON Taiwan 展出首日,SECPAAS 資安館也邀請到國內重要的資安專家以「供應鏈安全,從零信任資安做起」為題,探討半導體產業以智慧製造作為發展方向的同時,更需要建立全方位資安聯合防禦策略,以及如何將「零信任架構」導入 OT 場域,以維護供應鏈安全無虞。
本場資安小聚邀請到工研院資通所黃維中副所長擔任引言人,與 SEMI 半導體資安委員會張啟煌組長、FIDO 聯盟台灣分會張心玲會長、資通安全研究院黃馨瑩經理對談。在對談一開始,SEMI 張啟煌組長就提到了 2022 年 1 月正式公告的 SEMI E187 半導體產線設備資安標準規範,該規範制定了作業系統規範、網路安全、端點防護安全與資訊安全監控等四大要點,而這個標準也是由台灣主導制定,目的在於確保設備在供應鏈中的安全性,目前也受到國際認可,並推廣至更多企業之中,同時也有持續完成第三方認證。張啟煌組長也強調,制定國際資安標準需要取得國際成員共識,過程相當複雜,也因此 SEMI E187 花費長達三年的時間才完全底定,為半導體供應鏈建立資安的國際標準。
為了讓供應鏈不會有資安隱患,「身分驗證」是重要一環。FIDO 聯盟台灣分會張心玲會長介紹到 FIDO 聯盟的身分識別技術已經成為全球性標準,並廣泛應用在各類科技設備之中,像是目前每個人手上的智慧型手機,內建的身分驗證功能就是 FIDO 聯盟所制定;除了手機,目前各類型的 IoT 物聯網設備與各類型的 OT 工控設備之中,也都可以過 FIDO 標準提升供應鏈的安全性。
在與談中,資安院的黃馨瑩經理也提到,在 2022 年資安院就推出國家的「零信任架構標準」,內容涵蓋了身分鑑別、設備鑑別與信任推斷三大關鍵,其中「永不信任,持續驗證」是零信任架構的核心思維,在設備運行流程的重要環節,都擁有完整的驗證機制,也因此能確保供應鏈的安全性。黃經理也提到,這套零信任架構也參考了美國國家標準暨技術研究院(NIST)所推出的「NIST SP 800-207 零信任架構」作為依據,並進一步推動到產業界進行符合性驗證。
在對談之中,專家們也提到 OT 場域中的資安問題相較傳統的 IT 領域更為複雜,尤其在半導體製造環境中,機台設備若是受到外力影響而讓產線中斷,造成的損失將難以估計,也因此機台設備的安全性至關重要,張啟煌組長也提到,為了將風險降至最低,產業的設備進場前、啟動驗證與最終運行…等階段都需要嚴格遵守資安標準並參考零信任架構的建置,才能確保設備與資料安全。
9/5 資安小聚 B:產線不中斷,從設備合規開始
對於半導體製造業來說,更智慧化、自動化運行的產線能夠大幅提升生產效率與可靠性,但相對的因為設備連網也大幅提升駭客惡意攻擊的風險,也因此在 SEMICON Taiwan 第二天的資安小聚 B 場次也以「產業不中斷,從設備合規開始為題,邀請各領域的專業分享 OT 環境的營運安全,以及如何守護工廠產線的安全,打造營運不中斷的資安防護網。
在本場對談中擔任引言人的工研院資通所卓傳育組長提到,OT 環境的資安落實,僅僅只是參照標準執行操作無法完全避免風險,透過 SEMI E187 這樣的國際標準指引,以建立第三方驗證系統的方式導入生產流程的操作之中,才能確保設備真正符合資安標準。
與談人之一的台達研究院田維誠處長也分享了台達電過去經歷 ODM 與 OEM 業務轉型至解決方案業務的經驗,在生產設備連網之後,資安風險也大幅提升,如何有效防範駭客攻擊成為重點任務;也因此台達電在很早就導入了 IEC 62443 工控安全國際標準,成為台灣首個認證的企業,不過因為這個標準的要求非常繁瑣,在過程中也需要透過許多資安相關生態系的合作夥伴協助,包括第三方的認證單位,過程並不容易。而現今已經有專屬於半導體的 SEMI E187 認證,相對來說更容易讓相關廠商導入,同時也有像是 SECPAAS 這樣的單位提供更多資安公司的解決方案,能夠針對產線設備提供更完善的資安評量工具,像是軟體漏洞掃描、防惡意程式解決方案…等。
此外,工研院量測中心周俊宏博士也提到,工研院量測中心作為第三方驗證的角色,負責對半導體與其他相關供應鏈進行非破壞性檢測與第三方資安驗證,過程包括從系統設計到出廠前的風險評估,以確保每個階段都能符合資安標準。當然,資安標準的訂定與驗證過程無法避免冗長,但其目的在於確保相關設備合規,對於整個半導體產業與相關 OT 領域的廠商來說,絕對是不容忽視的一環。
對於產業資安標準化的建立與落實,工研院也扮演了重要的「穿針引線」角色,和產業界與學術界保持密切合作,更透過一系列嚴格的驗證流程,進一步提升台灣相關產業在全球市場上的競爭力,也藉由設備合規的相關技術與標準,讓資安防護更為完備,進而實現營運不中斷的目標。
在SECPAAS平台可以了解更多各種資安解決方案
資安解決方案很多,所以我們需要SECPAAS資安整合服務平台做為企業做資安防護的第一站。在平台上面整合了許多台灣資安產品與服務(超過90家資安廠商),也有許多工作坊與課程資訊,更可以提供資安需求方與供給方的媒合服務。現在就到SECPAAS資安整合服務平台了解更多詳情。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!