2022 年初國際半導體產業協會 (SEMI) 結合半導體產業鏈上中下游、數位發展部數位產業署及產、學機構的力量,推出由台灣主導的半導體晶圓設備資安標準 SEMI E187-Specification for Cybersecurity of Fab Equipment。標準擬定完成後,如何協助產業逐步導入 SEMI E187 標準提升整個半導體產業的資安防禦能力,保障產業永續資安治理,將會是最關鍵的工作。然而,對於半導體設備廠商而言,如何有效落實該標準,仍是一項挑戰。
Bureau Veritas 為全球在消費性、高科技與工業性產品等測試、檢驗與驗證服務的市場領導者,專注為客戶提供國際化服務,為世界眾多製造商提供相關檢測驗證服務。身為國際化的第三方認驗證集團, Bureau Veritas 在 2023 年推出為半導體設備廠商提供專業諮詢和合規驗證 (Verification of Conformity) 服務,旨在協助半導體設備廠商 SEMI E187 標準的合規。
Bureau Veritas資安團隊擁有豐富的 OT資安專業知識和 IEC 62443 驗證經驗,可協助半導體設備廠商從設備入廠前就著手規劃機台配置、生產與維護期間的基礎安全生命週期管理方法。在 SEMI E187 標準中規定要求設備製造商們在設計階段就優先從四大層面考量,分別是「作業系統」、「網路安全」、「端點保護」、「資訊安全監控」四大面向共 12 個安全要求。Bureau Veritas 的資安專家們建議可以從以下幾個方向導入:
- 早期規劃:在半導體產線設備設計階段就將營運技術網路安全 (OT Cybersecurity) 考慮在內,可以有效降低後續的修改成本。
- 採用提供定期更新的作業系統和應用程式:在設計階段,設備製造商可以選擇支援安全更新的作業系統,並將安全更新的評估管理流程作為產品生命週期的一部分。
- 採用安全的設計原則:遵循安全的設計原則,例如最小權限原則和區域分隔,可以幫助提升設備安全性。
- 進行安全評估:在設計階段進行安全與風險評估 (Risk Assessment),可以幫助識別和降低安全風險。
法國必維國際檢驗集團 (Bureau Veritas) 做為公正的第三方認驗證公司,除上述建議外,也提供半導體的晶圓設備 (生產設備 + 自動物料搬送系統) 符合 SEMI E187 的專業諮詢和合規驗證服務,助力廠商呈現標準所要求的基礎防護能力。BV規劃三大服務面向來服務半導體設備廠商:
- SEMI E187 安全要求培訓與諮詢:針對 E187 要求提供條文說明與培訓,幫助半導體設備廠商的研發團隊了解內容。
- 設備風險評估:從 OT 資安威脅的角度,協助貴公司團隊識別安全風險,與貴公司團隊共同進行安全措施和安全管理體系討論與擬定。
- SEMI E187 外部稽核與發證:不管是半導體設備廠商或半導體廠,皆可委外由 BV 資安團隊協助貴公司,在半導體產線設備與自動物料搬送系統 (AMHS) 入廠前,進行 SEMI E187 資通安全把關與驗證,建立安全供應鏈。
數位發展部也在 9 月 6 日頒發由必維國際檢驗集團所發出的全球第一批 SEMI E187 合規認證給均豪精密與東捷科技團隊,透過此次的驗證過程,兩方團隊完整地展現致力於建立並具體落實 SEMI E187 標準的合規,提升自身產線設備安全性的企業精神。