台積電(2330)於2018年8月驚傳部分產線機台及電腦系統中毒,打亂晶圓生產作業,震撼全球半導體業,並於該年第三季認列25.96億元台幣的相關損失。
三年後的今天,由台積電大力推動、國際半導體產業協會(SEMI)第一個由台灣主導的國際產業標準,也是SEMI首個半導體晶圓設備資安標準(SEMI E187 - Specification for Cybersecurity of Fab Equipment),不僅於今(28)日揭幕的2021國際半導體展(SEMICON)正式發表,由SEMI發起的半導體供應鏈資安聯盟也同時啟動。
這不但代表台灣在全球半導體供應鏈中的又一個全新地位,也意味台積電儼然成為全球半導體設備的資安標準重要推手。
未來全球各家半導體設備商想要做台積電的生意,就不可能忽視SEMI E187標準,該標準將成為半導體設備產業的最基本資安門檻。
究竟台積電怎麼從護國神山,變身為半導體業的資安長城?故事要從三年多前說起。
台積電機台中毒 意外催生SEMI首個半導體晶圓設備資安標準
2018年8月,台積電發生機台中毒事件,震撼全球半導體產業鏈。
2018年11月,台積在該年第三季財報內的綜合損益表部分,加了這段附註:
「本公司於(民國)107年8月3日受到電腦病毒感染,影響台灣廠區部分電腦系統及廠房機台,致相關晶圓生產亦受波及,所有受影響機台均已於107年8月6日恢復正常,本公司107年第3季認列電腦病毒感染相關損失2,596,046 仟元。」
機台中毒事件對台積電的影響,並未在財報認列損失後就結束,反而使台積開始了全新的鞏固資安作為。
▲台積電在SEMI推動成立工作小組,制定半導體生產設備的全球資安標準。
台積多管齊下 建立資安長城
根據台積電在近兩年台灣資安大會展場揭露內容、企業社會責任報告書、自家官網及SEMI官網內容,台積為了打造資安長城,過去三年來至少做了以下四件事:
第一,2019年成立供應商資訊安全協會,藉由供應鏈資安風險評鑑及資安實務合作及分享,持續強化供應鏈資安防衛,要求供應商達到台積電規定的標準。
第二,明訂資安風險評估及管理流程,建立自動化資安管理系統,並取得ISO 27001資訊安全認證。
在實務上,台積已建置自動化掃毒及防毒系統,防止有惡意軟體的機台進入公司;強化網路防火牆與網路控管,預防電腦病毒跨機台及跨廠區擴散;並依電腦類型建置端點防毒措施。
▲台積電每季發行供應商資安電子報,宣導機密保護資訊。(圖片來源:台積電官網)
第三,加強與學界及業界合作,共同培育資安人才。
例如,台積攜手華碩(2357)及鴻海(2317),研發高規格資安智慧手機;與中華資安、安碁資訊(6690)及台灣微軟開發資安解決方案,並且擴大招募資安人才。
第四,台積於2018年10月,也就是發生機台中毒事件後僅兩個月,就在國際半導體產業協會(SEMI)推動成立跨產業工作小組,研究制定半導體設備的全球資訊安全標準。
半導體機台動輒億元起跳 一用就是20年
擔任該工作小組共同主席的工研院資通所資通系統與資料安全組副組長卓傳育博士說明,台積電之所以想推動SEMI認可的全球半導體設備資安標準,是因為在2018年機台中毒事件發現,購自日本、荷蘭或美國的產線機台,每台造價從數億元台幣至數十億元不等,一旦買進來就會用上20~30年,惟之前原廠大多未安裝防毒軟體,台積IT人員又不敢隨意更動原廠設定。
不僅如此,製造商為確保設備運作高度穩定,有些設備使用的電腦作業系統是年代「久遠」的Windows XP(微軟2001年10月推出,2019年終止支援)。
卓傳育說明,國內半導體產業之所以想推動這個產業標準,是希望未來各家半導體設備製造商的產品,在資安上達到多項標準,例如作業系統不能太老舊、機台應用程式可自行隔離異常狀況、機台要能自動回報任何資安事件等,避免任何資安狀況打斷晶圓廠產線運作。
▲圖為SEMI半導體設備資安標準工作小組的兩位共同主席,左為台積電企業資訊安全處經理張啟煌,右為工研院資通所卓傳育博士。
力積電、奧義、應材 都是設備資安工作小組成員
在今天SEMICON的半導體供應鏈資安聯盟啟動儀式及資安標準發布會上,除了擔任SEMI資安委員會主席的台積電企業資訊安全處長屠震,力積電、日月光及南亞科等半導體相關業者;奧義智慧、睿控網安(TXOne Networks)及戴夫寇爾等資安業者;以及美商應材、科林研發(Lam Research)等設備業者,大都派出經理或處長級以上主管與會,其中大多是上述SEMI半導體設備資安標準工作小組的成員企業。
這顯示從晶圓代工廠、記憶體生產商、資安界到設備商,都高度重視半導體設備資安標準SEMI E187。
SEMI說明,首次發布的SEMI資安標準目前針對四大重點進行發展:
1. 機台設備電腦作業系統相關:所有設備作業系統需使用主流有安全性更新的版本,或使用長期支援的作業版本運行,其中也包含維護及更新工具
2. 網路安全相關:所有設備必須要注意安全強化,並提供組態配置及設定相關說明書,IT人員得以關閉不使用的服務,監控高風險的TCP/UDP連接埠的使用與管理
3. 端點保護相關:所有設備需建立自我保護機制,如防毒或應用程式白名單及弱點掃描
4. 資訊安全監控:所有設備需能支援存取控制及資安監控,也需有針對資安資訊與事件管理的功能
▲SEMI啟動半導體供應鏈資安聯盟,左二為台積電企業資訊安全處長屠震,右二為SEMI全球行銷長暨台灣區總裁曹世綸。
台積運用市場龍頭力量 推動設備商做好資安
擔任SEMI資安委員會主席的屠震在致詞時表示,未來委員會將著重四大重點,第一是訂定參考架構解決方案,以幫助推廣這項標準;
第二是加強半導體產業的資安意識;
第三是有效評估資安等級;
第四是基於國際標準,評估半導體供應鏈的資安風險,並建議長久的資安策略。
卓傳育則提到,SEMI E187可望成為全球半導體設備的最低門檻,也可以說是台積電運用獨霸全球晶圓代工業的龍頭力量,強力推動設備商做好資安,而且不僅是鞏固台積電本身的供應鏈資安,也同步提高整個產業的設備資安水準。