半導體資安標準SEMI E187推廣有成,知名企業談導入半導體供應鏈資安實務經驗

半導體資安標準SEMI E187推廣有成,知名企業談導入半導體供應鏈資安實務經驗

在企業加速數位轉型的過程中,駭客攻擊與勒索病毒肆虐也愈來愈嚴重,其中半導體產業是全球關鍵產業,更是許多駭客攻擊的對象。

為了讓半導體相關企業做資安時有標準可循,第一個由臺灣主導的半導體產線設備資安標準規範 SEMI E187 於 2022 年 1 月公告。在這樣的背景下,數位產業署透過「智慧製造資安強化」主題式研發徵案,協助業者導入資安強化物聯網場域防禦能力。

從 2022年開始,智慧製造資安強化推動計畫展開,著重於帶動業者發展供應鏈安全管理解決方案,協助產業掌握並追蹤整體資安風險,同時搭配企業資安評級服務,推動產業建立智慧製造供應鏈安全示範場域,帶動垂直應用的資安產品整合與研發。

到目前為止,已經有不少資安廠商與半導體相關企業投入符合SEMI E187的資安工作,並取得具體的成果。我們這次訪問資安廠商華電聯網與竣盟科技,以及半導體設備製造商均豪精密與東捷科技,談2022年開始著手SEMI E187合規的實務經驗及帶來的效益,值得業界一起關注。

文章目錄

華電聯網攜手均豪精密防堵半導體資安漏洞

「地緣政治、疫情、ESG、綠色製造加速全球企業的數位轉型 ,資安攻擊事件是企業面臨的痛點與挑戰,一但發生資安問題,造成機密資料被竊取、設備停止運作、產品報廢,甚至影響整座工廠運作停擺,產生巨大損失。」談論到資安議題,均豪精密董事長陳政興有感而發地說道。

均豪精密 陳政興董事長。以半導體產業來說,因為高度分工,一旦某個環節受到攻擊,整條供應鏈可能就此停擺。

均豪精密於 2022 年參與數位產業署輔導的「智慧製造資安強化推動計畫」,與資安服務商華電聯網合作「強化零信任資安架構與半導體機台 SEMI E187 合規開發計畫」,力求提升OT資安與修補資安漏洞。

華電聯網副總經理鄭炤仁進一步解釋:「由於均豪精密主要客戶為半導體及顯示器產業的國際客戶,且大廠客戶對資安有嚴格的稽核要求。本次 合作希望能強化整體企業資訊安全防護能力與韌性,並提升企業資安評級,滿足國際大廠客戶與供應鏈對於 SEMI E187 設備合規的要求。」

華電聯網 鄭炤仁副總經理。

三大面向強化智慧製造資安能力

均豪精密對於資安的防護很早就有意識,陳政興董事長說明:「企業經營的角度看資訊安全有兩大部分,一個是來自外部的入侵,另一個是內部機敏資料的管理。我們在 2018 年就開始要求所有出貨的機台設備,必須經過資安檢驗,提交無毒證明後,品管單位才可放行出貨。更於 2020 年成立了資訊安全委員會,由我擔任主席,帶領資訊安全委員會執行資訊安全工作之規劃與推展,並帶領公司通過 ISO 27001 稽核認證。」

當 SEMI E187 合規成為半導體設備的必要條件,在數位產業署的「智慧製造資安強化推動計畫」下,均豪精密與華電聯網合作,由華電聯網協助均豪精密率先導入 SEMI E187,提升產品競爭門檻,同時也能提供客戶高品質的產品及服務。

提到本次合作,華電聯網副總經理鄭炤仁說明:「這是我們第一次跟半導體設備商合作,我們花了很多時間了解均豪精密半導體設備的應用和 SEMI E187 規範的關聯性,並研究如何把既有產品對準這些規範。我們主要提供三大項目的服務內容,希望從這幾個面向強化均豪的資安表現。」

鄭炤仁副總經理所說的三大項目,包含了:

1.資安告警關聯及聯防:藉由部署 EDR,偵測到最新入侵手法,並於駭客入侵的第一時間,快速精準的發現駭客的入侵行為,並通知相關人員立即處理,將損害控制在最小的範圍內。藉由收集防火牆和 EDR 的事件,關聯端點和網路資安事件後,與防火牆建立聯防機制,達到快速反應資安事件及減少衝擊的目標。

2.強化零信任資安架構:提供電子圖檔管理系統整合資料加密軟體,跨職能協作單位針對資料觀看、取用等皆能保存紀錄並保有法律追溯之特性,有效管理機密關鍵的敏感資料。另外將機敏資料放置於資訊部的伺服器區,員工遠端使用帳號/密碼得到認證授權後,即可取得資料處理例行性業務。

3.半導體機台 SEMI E187 合規開發:將均豪精密生產之半導體機台設備,整合資安解決方案,以達到 SEMI E187 規範要求。並提供 SEMI E187 教育訓練給均豪精密相關供應鏈廠商,以大帶小輔導至少 5 家供應商了解並導入資安方案試煉。

以大帶小,供應鏈廠商作伙做資安

均豪精密陳政興董事長認為,任何企業遇到資訊安全的問題,影響的不僅是企業營運、業績,更是影響企業品牌形象與顧客信任關係。研發是企業的命脈,發生機密資料被竊取,等同失去企業競爭力。

陳政興董事長與鄭炤仁副總經理都對於數位產業署的支持表達感謝之意,陳政興董事長更強調,透過工研院 SECPAAS 企業資安評級五大指標,讓均豪精密可以快速找出資安改善方向,協助強化營運管理與資訊安全架構,並率先進行 SEMI E187 合規開發,讓均豪精密走在業界最前端,評級更從 C 級提升到 A 級。

鄭炤仁副總經理也補充說明:「數位產業署跟工研院推出的SECPAAS 資安整合服務平台從一開始就提供很多協助,例如顧問輔導與產業資訊,讓華電聯網可以根據產業趨勢與場域需求,與國際大廠攜手合作,在實際的場域中了解用戶的需求並試煉我們的技術,進而提供適合相關產業的產品及服務,進而促成與更多客戶合作。我們相信,數位產業署的輔導計畫,可以協助臺灣製造業依據產業資安威脅態勢,聚焦國際供應鏈安全議題,讓華電聯網提供產業需求之垂直應用資安解決方案,提升產業生態圈資安強度,穩固企業國際市場競爭力。」

放眼現況,資安防護已不再是企業獨善其身,陳政興董事長再次強調:「我們將加強串連供應鏈中的上、中、下游與客戶通力合作,持續輔導供應鏈廠商提高資安意識及能力。未來將持續以大帶小,強化國內供應鏈資安防護體系。」

▼均豪精密、華電聯網訪談影片:

竣盟科技與東捷科技展開戰略合作,提升半導體資安韌性

「近來有不少同業或上下游廠商遇到資安危機,像是駭客入侵某廠商,聲稱取得其大客戶的機密資料,並勒索金錢上億。」東捷科技副總經理葉公旭在採訪時憂心忡忡說道。

東捷科技 葉公旭副總經理。確實如葉公旭副總經理所言,現今駭客攻擊不只鎖定單一廠商,而會透過其供應鏈旁敲側擊,只要在供應鏈中找到漏洞,就有機會潛伏進公司,進而竊取大量敏感資訊,甚至是透過勒索方式索取大量金錢。

竣盟科技總經理鄭加海也點頭表示同意:「半導體產業鏈被駭客入侵的事件時有所聞,例如員工拿著已經中毒的 USB 插入公司的電腦,而導致公司遭病毒攻擊,敏感資料被駭客竊取、勒索。或是供應鏈遭到駭客入侵不自知,導致機器中毒。」

竣盟科技 鄭加海總經理。當今時代,做資安已經不是只有特定公司該做的事,而是全部公司都應該注重的重要課題。供應鏈做好資安,公司與公司之間才能互相信任,達到更有效的合作。

做好四件事,落實資安強化任務

透過 2022 年數位產業署的「智慧製造資安強化」推動計畫,東捷科技與竣盟科技展開合作。

談到合作的契機,葉公旭副總經理解釋:「經過一些評估後,我們把想要保護的焦點擺在機台的端點防護,因為半導體公司無法承受機台停擺帶來的龐大損失,而公司提供的設備可以讓客戶不會因資安攻擊而停擺,讓公司也能幫客戶盡一點力。」

東捷科技找上竣盟科技協助提升資安防護能力,竣盟科技也隨即針對東捷科技的資安防護漏洞展開搜尋與修補。鄭加海總經理說明在其團隊初步評估,所發現的幾項問題:「我們發現東捷科技缺乏有效的 OT 防護機制、無法有效控管相關供應鏈所造成的資安威脅,以及在 SEMI E187 標準上路後,不知道從何開始來達到相關的標準要求。」

因此,竣盟科技從以下四個面向,分別擬訂了不同策略,協助東捷科技提升資訊安全,同時又能合乎 SEMI E187 的標準。

1.建立以情資為主的智慧防禦

透過整合國內外多面向情資,提升資安告警的準確度,同時透過整合通訊軟體,做到即時告警,縮短威脅發生到處理的時間,並自動化資安事件通報,達到產業鏈即時情資分享與聯防的目的。

2.建立智慧雲端戰情中心打造零信任安全示範場域

透過資產盤點與弱點檢測建立設備風險管理清單,並透過風險等級建立網路邊界保護,以及引入對產線生產影響較小的誘捕機制,誘捕並隔絕駭客攻擊。

3.強化供應鏈資安管理以及建立供應鏈資安當責

除了自身的資安,企業也必須掌握供應商或第三方服務業者的資安風險,像是分享情資、協助進行員工教育訓練等等都是可行的做法,同時也可以由特定部門來負責這些事情。

4.提供給客戶符合 SEMI E187 標準之設備

依據E187 四個面向的要求修補相關弱點,並強化機台對於系統網路安全、端點防護、應用程式與外接式儲存媒體、系統日誌稽核進行補強。

各部門同心協力,OT 與 IT 資安一起做到好

在駭客肆虐的時代,資安、合規並不是只有 IT 部門做好就好了。鄭加海總經理強調:「傳統 OT 是單機運作,但現在萬物聯網,除了帶來更高效、便利的作業流程,同時也使得駭客便於利用網路攻擊。因此 OT 部門也需要好好強化資安,背後更少不了公司高層的支持與鼓勵。」

對此,葉公旭副總經理也深有同感:「我們相信,資安做得好才不會因為資安事件造成營運中斷與損失,這是永續經營中重要的一環。另外不會因為資安事件造成客戶資料洩漏,對於客戶來說可以得到更多的信任。」

在公司高層的支持下,雙方針對東捷科技的 OT 與 IT 兩個面向展開了資安強化作業。而強化後的資安能力,更替東捷科技帶來可觀的潛在收益。

葉公旭副總經理解釋:「資安的提升最明顯的影響就是客戶的認同度提昇,可以替我們帶來更多的案子。以及其他潛在的正面影響,如工作環境更安全及穩定,沒有發生被駭客加密等事件。」

鄭加海總經理甚至大膽預測,透過資安的強化,以及 SEMI E187 的合規作業,東捷科技接下來三年內的營收將成長。因為機台有通過國際資安標準認證,可以賣更好的價格,資安的提升也使得東捷的產品更具市場競爭力。

最後,兩家公司不約而同點出數位產業署跟 SECPAAS 平台提供的協助。

竣盟科技鄭加海總經理說道:「透過數位產業署跟 SECPAAS 平台的協助,我們在實際的場域中了解用戶的需求並試煉我們的技術,研發出適合相關產業的產品及服務,讓我們有機會跟更多客戶合作。很多企業苦於預算有限無法把資安做為日常營運的一部份,期待在政府投入資源後,可以讓更多企業從觀望到踏出第一步,也協助我們資安產業更加茁壯。」

東捷科技葉公旭副總經理也說道:「除了利用平台找到適合的資安廠商來幫忙,更讓我們利用有限的預算達到預期的效果。後來做了企業資安成熟度評級,從評級資料中了解了改善的方向進而等級提升,讓我們更有實力爭取國際大廠的訂單。」

葉公旭副總經理還大力疾呼:「在此呼籲同業,資安一定要做,不管對外取得客戶的信任或是對內的管理都大有幫助,透過 SECPAAS 的協助,讓我們從門外漢一步一步到達供應鏈值得信賴的成員,請大家趕快行動!」

總而言之,SEMI E187 標準將可替台灣半導體產業,規格化產業鏈上下游的資安範疇,使之有一套標準可循,除了提升企業的資安能力,更能獲得國際大廠的認可。

▼東捷科技、竣盟科技訪談影片

均豪精密與東捷科技獲頒 SEMI E187 合格性證書

均豪精密與東捷科技做到 SEMI E187 的要求,也獲得國際級機構的認證。就在9月6日的「推動半導體設備資安 SEMI E187 成果發表會」中,由數位發展部數位產業署呂正華署長把 SEMI E187 合格性證書(VoC)頒給均豪精密與東捷科技。數位發展部數位產業署於9月6日到8日在 SEMICON Taiwan 建置 SECPAAS 資安館,這場成果發表會就是 SECPAAS 資安館的開場活動。

左起華電聯網陳國章董事長、均豪精密陳政興董事長、SEMI半導體資安委員會張啟煌組長、呂正華署長、東捷科技陳贊仁總經理、竣盟科技鄭加海總經理。

SECPAAS 資安館展出的主題是半導體供應鏈資安和SEMI E187資安標準合規,有8家台灣資安廠商設攤展出各種相關解決方案,也有3場資安小聚講座8場資安主題演講,帶給大家最新的資安實務與發展趨勢。以下是T客邦在資安館現場的每日活動報導。

在產業界導入資安的過程中,由數位產業署支持的 SECPAAS 資安整合服務平台扮演協助推動的角色,為資安廠商找到適合的應用場域,也為需要資安的企業帶來適合的解決方案。想了解更多SECPAAS提供的服務與案例,可進入SECPAAS網站探索。 

艾格
作者

從事出版媒體產業10餘年,現為接案文字工作者,同時為T客邦特約編輯。eigerhong@gmail.com

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則