随着各种新兴安全威胁与日俱增,为有效提升安全防御,所有企业皆十分重视相关安全解决方案与标准规范;而半导体更是台湾产业“重中之重”,安全防护工作更是不容忽视。为此,国际半导体产业协会(SEMI)半导体安全委员会结合产、官、学各界力量,催生半导体芯片设备安全标准SEMI E187,期借此进一步提升台湾半导体供应链安全。
工厂智能化导致安全风险大增
根据统计,通信供应链攻击从数量到复杂性都有所增加,美国身份窃盗资源中心(ITRC)指出,2021年第一季供应链攻击的数量较上季度增加42%;欧盟资通安全局也发现,新兴供应链有66%集中在供应商源码上。
SEMI全球首席营销官暨台湾区总裁曹世纶表示,网络犯罪越来越猖狂和严重,且攻击目标从早期政府、金融产业慢慢转移至制造业。原因在于制造业开始数字转型,原先独立封闭的工厂开始变成万物互联的智慧工厂,使得安全风险大增。
SEMI国际半导体产业协会全球首席营销官暨台湾区总裁曹世纶。(Source:SEMI)
曹世纶指出,制造业已经成为网络攻击另一个重要目标,而对台湾而言,半导体可说是更是重中之重,不仅是重要经济来源,同时也在全球供应链中扮演关键角色;一旦台湾半导体供应链受到攻击,将影响全球半导体经济。所以,安全自然而然地变成台湾半导体产业重要议题。
曹世纶进一步说明,半导体是个高度分工的产业,不论是设计、制造、设备或材料等,都是通过供应链或是生态系统共同完成。而如今万物互联时代到来,上下游许多资料都可以互通传输,资讯流是互相连接的;这意味着整个供应链的安全风险和以往相比有着显著的增加。
“在这种情况下,一旦某个环节受到攻击,整个供应链都有可能因此停摆。因此,需要一个共同的规范,确保整体安全性。”曹世纶说。
确保半导体供应链安全,安全标准是关键
为此,SEMI半导体安全委员会结合半导体产业链上中下游及学术研究单位等机构的力量,催生半导体芯片设备安全标准SEMI E187。据悉,SEMI E187设备安全标准网罗四大层面,包含计算机操作系统规范(如操作系统长期支持)、网络安全(如网络传输安全、网络组态管理)、端点保护(如弱点扫描、恶意程序扫描、端点防御机制、访问控制)、资讯安全监控(如Log记录)。
另外,为防范半导体厂设备被恶意软件攻击,SEMI美国安全标准技术委员会于今年也产出SEMI E188恶意软件攻击防护标准,通过两项安全标准相辅相成,共同守护半导体设备资讯安全。
曹世纶指出,制定SEMI E187标准,主要是希望台湾半导体供应链能提出更具值得信任的保证,与海外供应连接单能确保无虞;且有个统一的标准之后,可让供应链企业更专注于其核心业务上,减少疲于奔命、厘清安全规范的时间。同时,台湾安全服务企业或是安全解决方案供应商也能通过这个规范进入半导体供应链,可说是个三赢的结果。
SEMI制定E187标准强化台湾半导体供应链安全。(Source:SEMI)
除了订出E187标准,SEMI也推出了半导体安全风险评级服务,且已正式上线。曹世纶解释,近年来产业安全意识、观念慢慢加强,除了风险意识提高也陆续升级安全防护。然而,在安全意识提升的同时却也有着新的挑战,那就是各企业的做法、依据皆不相同。
曹世纶说明,各个企业都有自己的安全评估标准,而在标准不一的情况下,供应商会疲于奔命,因为每个客户要求都不一样,没有公用基准能评断、比较;因而会发生资源重叠、浪费的情况,显得很没有效率。
换言之,在安全观念与时俱进的同时,也要有一个第三方安全风险评估平台,凝聚产业共识,让企业有个共同基准,如此一来安全发展才有更大的进步空间。
曹世纶透露,所以,SEMI半导体安全委员会遂开始规划半导体安全风险评定服务,而该服务也已在12月正式上线。据悉,该服务结合安全风险评估通用问卷及第三方安全态势风险评分工具两大系统,通过Inside-Out、Outside-In方式,全方位协助企业查看内部的安全风险现况;借此服务系统的导入,企业将能够更即时、全面地掌握安全风险现况,进一步构建并强化安全体系。
曹世纶强调,半导体安全风险评级服务旨在提供一个客观的验证方法,确保企业迈向智能制造时,能够让网络防卫能力达到适当安全水平,有助供应链合作伙伴提升安全决策效率与防护力,创建台湾半导体产业领先全球的关键竞争力。
半导体安全人才难寻,需克服三大挑战
然而,要强化半导体供应链安全,除了要有好的标准及可靠的第三方评定服务外,安全人才也是不可或缺。不过,曹世纶指出,如今安全人才难寻,而半导体产业要找人更是要克服三大挑战。
曹世纶说明,首先是半导体实务经验不足,多数的人虽然有安全相关概念,但却缺少在半导体产业的实例经验;第二是内部人才培训量能不足,当缺人的时候往往是通过内部培训,不过目前是连负责培训的人才量能也不够。最后,则是人员学习和转型意愿,也就是即便原本是安全领域的人,但却不愿涉足或转型到半导体产业,毕竟还是有许多学习上的鸿沟(Gap)存在。
曹世纶补充,随着智能制造、数字转型脚步越来越快,OT与IT之前的界线越来越模糊,整个工厂环境变得更加复杂,对于安全人才的条件要求也越来越多,像是要有AI技术、数据分析,或是恶意攻击判断能力等。这是产业对于安全人才的期盼,却也意味着在人才的培训上需要有更多的质和量才能满足新时代半导体安全需求。
SEMI通过论坛、研习、会员交流等方式培育所需人才。(Source:科技新报)
那么,究竟该如何克服?曹世纶说明,政府已将安全列为战略重点,而数字部成立后也对于人才培训上有着计划性的推广。至于从产业务实面来看,就需要和更多专业安全顾问公司合作,通过实验营、培训班、教育课程等方式培育更多安全人员。当然,SEMI也会让会员分享安全相关经验,让企业间能有技能、实务交流经验,以提升现有安全人员的技术水准。
(首图来源:Image by xb100on Freepik)