SEMI(國際半導體產業協會)發布SEMI首個半導體晶圓設備資安標準 (SEMI E187 - Specification for Cybersecurity of Fab Equipment),同步舉行半導體供應鏈資安聯盟啟動儀式,台積電、日月光、鴻海、台灣應材、微軟等國內外前瞻企業與經濟部工業局長官現身參與,期盼在近年網路威脅頻傳的情況下,整合產、官、學、研力量建立有韌性的半導體供應鏈,全面實踐台灣及全球產業的資訊安全。
經濟部工業局電子資訊組林俊秀組長表示:「面對全球推動智慧製造的趨勢,台灣廠商在因應提升相關技術的同時,維持資訊安全為最重要的一環。為此,政府近年持續推動相關政策目標,精進各項資安防護工作,確保產業辛苦耕耘的成果,不被網路攻擊所損害,繼續鞏固台灣做為全球安全供應鏈的地位。」
SEMI全球行銷長暨台灣區總裁曹世綸指出:「隨著供應鏈攻擊的威脅日益嚴峻,有效提升供應商與產業供應鏈的整體資訊安全是刻不容緩的課題,其中在網路安全意識的推動,更是一項重大挑戰。因此,SEMI於今年度正式成立資安委員會,致力於持續暢通跨界交流與溝通橋梁,也透過制定與半導體設備有關的資安標準框架,加速高科技製造業進行安全智慧化、數位化的腳步。」
SEMI資安委員會主席暨台積電企業資訊安全處長屠震表示:「隨著SEMI晶圓設備資安標準的正式建立,全球供應商對於設備的資安防護設計也能有所依循;企業在設備採購合約上,也能以此標準作為資安要求。長期來看,不僅能確保晶圓廠的機台設備安全,更能帶動上游產業對設備安全品質的重視。」
資安標準導入為關鍵第一步
SEMI資訊與控制標準技術主席暨台積電部經理游志源博士表示:「資安標準的籌備及撰寫過程嚴謹艱辛,字字句句都需要多方斟酌,同時也讓SEMI全球的標準技術專家審核過程,花了很多的功夫始能將標準文件落實。這是台灣半導體產業共同努力完成的第一條資安標準,相當具有代表性。」
SEMI資安委員會成員包含台積電、台灣應材、日月光、鴻海、微軟等國內外大廠,成立目標除聚焦在資安標準的推廣,預期也將進一步提升產業資安意識、有效評估供應鏈網路安全態勢及建構供應鏈的資安風險評估框架。並透過技術內容分享、資安活動宣傳等定期產業相關資安訊息分享,讓SEMI會員皆能透過委員會進行交流。
SEMI資安標準四大重點發展
- 機台設備電腦作業系統相關:
所有設備作業系統需使用主流有安全性更新的版本,或使用長期支援的作業版本運行,其中也包含維護及更新工具
- 網路安全相關:
所有設備必須要注意安全強化,並提供組態配置及設定相關說明書,IT人員得以關閉不使用的服務,監控高風險的TCP/UDP連接埠的使用與管理
- 端點保護相關:
所有設備需建立自我保護機制,如防毒或應用程式白名單及弱點掃描
- 資訊安全監控:
所有設備需能支援存取控制及資安監控,也需有針對資安資訊與事件管理的功能
SEMI持續耕耘資安標準落實應用及驗証測試,從個人與設備著手,是未來的產業發展方向。而數位韌性,則可從風險減損與風險管控角度切入,更是企業治理要留意的重要議題。