半導體產業對台灣及全球的重要性與日俱增,SEMI國際半導體產業協會為助力產業提升資安防禦力,持續推進SEMI E187半導體設備資安國際標準普及化,繼發布SEMI E187 checklist(SEMI E187標準基本實施檢核表)及半導體資安風險評級服務後,再推出「半導體製造環境資訊網路安全參考架構」,提供半導體供應鏈對製造環境更明確的資安架構參考規範。
SEMI台灣半導體資安委員會主席暨台積電企業資訊安全處長屠震表示,半導體產業過去缺乏一致性的資安標準,或因機台老舊而無法更新,使得相關設備與節點暴露在高風險環境之下,無論是供應商、員工或承包商都可能成為資安破口,動輒影響營運、造成財務損失或傷害品牌信譽與合作關係;「半導體製造環境資訊網路安全參考架構」提出更具結構化的網路安全設計,不僅有助於瞭解工廠內所有網路資產的狀況,也能洞察這些資產及其在網路中的通訊狀況,可保護設備免受惡意軟體帶來的各種威脅。
隨著工業4.0、數位科技的興起,讓IT與OT走向互聯,愈來愈多的系統、資產、人員和機器相互連接,雖然大幅增加生產力,卻也讓網路攻擊的風險呈指數級增加;尤其勒索軟體與威脅技術持續進化,供應鏈攻擊層出不窮,一旦供應鏈中的任何環節出現漏洞,很容易就成為惡意攻擊或勒索軟體的鎖定目標。
根據趨勢科技《預先防範風險:2023上半年資安總評》報告指出,2023年台灣上半年偵測到惡意連結達4,400萬筆,高居全球第三,次於日本與美國。另Fortinet公布的《2023上半年全球資安威脅報告》也顯示,2023年上半台灣遭受惡意威脅的數量急遽成長,平均每秒就有將近1.5萬次攻擊發生,高居亞太之冠,與2022年同期相比增加超過8成,且駭客正從隨機入侵手法,轉變成針對性的攻擊,以追求經濟利益的極大化。除勒索軟體組織不斷精進其攻擊手法,生成式AI工具也大量運用於提高虛擬犯罪效率,同時利用常見的企業軟體漏洞,並從資料加密轉向資料竊取。
有鑑於此,SEMI攜手SEMI台灣半導體資安委員會主席暨台積電企業資訊安全處長屠震及委員會第四工作小組組長睿控網安劉榮太執行長及國立陽明交通大學謝續平講座教授帶領委員會特別提出「半導體製造環境資訊網路安全參考架構」,針對半導體製造環境定義出一套通用且最低限度的安全要求,包括電腦作業系統規範、網路安全、端點保護、資訊安全監控等四大層面,並採用業界熟悉的普渡模型(Purdue Model),涵蓋第零層到第五層的IT、OT與工控場域,逐一提出工具設計與組態、資產庫存管控、網路與應用整合工具、漏洞管理與修補管理、近端與遠端接取、安全資料交換、防禦偵測與回應等參考架構,企業資安管理者可藉此妥善評估基礎資產應用、相關風險以及如何針對這些問題制訂網路存取策略或補救措施。
由台灣業界制訂的第一個半導體資安國際標準SEMI E187已有均豪精密與東捷科技獲得首批SEMI E187半導體設備資安合格性證書(Verification of Conformity,VoC)。另於SEMI平台上推出半導體資安風險評級服務,進一步推出365天全方面防護方案,引進第三方風險評分和風險態勢服務,協助廠商監控供應商資安態勢,並導入Panorays第三方網域掃描服務技術,進一步提升安全防護機制。半導體資安風險評級服務也提供由SEMI半導體資安委員第三工作小組台積電張啟煌資訊技術安全專案部經理及CISCO洪志仁資深伙伴信息技術協理帶領SEMI半導體資安委員量身打造的半導體產業別通用問卷,為產業提供業界樣態且增加產業資安評估效率。
近期SEMI半導體資安委員會由第一工作小組組長工研院卓傳育組長發佈的SEMI E187 Checklist(SEMI E187標準基本實施檢核表),其中包括12項重點檢查內容,例如在作業系統方面,更新版本至少要在12個月內有效、保持最新的安全修補,網路方面要提供HTTPS、SFTP、SSH的安全協定,終端保護要有弱點掃描、惡意軟體監控等功能、機台要有接取控制的設定,安全監測需有事件記錄檔完整紀錄,並至少保存一個月等,透過上述標準化的檢核程序,讓廠商一同應對詭譎多變的資安威脅,全面強化資安防護能量。