台灣身為全球半導體產業舉足輕重之地,一年一度的「SEMICON TAIWAN 國際半導體展」也成為產業界重要的盛事,相關產業也都在每年齊聚一堂,雖說因為疫情的關係,2021年度的實體展會展期延至12/28 - 12/30,但卻也是不折不扣的「年度壓軸」。
文章目錄
而近年各大產業無不聚焦於資安防護的升級,集結高科技、智慧化技術於一身的半導體產業自然也不會置身事外,而今年由經濟部工業局推動的SECPASS資安整合服務平台也再度來到台北南港展覽館一館,建置資安主題館,同時也在三天展期中,帶來內容札實的多元化活動,包括國內產業界菁英集結的資安小聚、提供最新趨勢的資安 Pitch Show…等講座,為半導體供應鏈與相關從業人員一次補充大量的資安防護知識。
此外,今年 SEMICON 展中的重量級訊息就是,經濟部工業局與國際半導體產業協會 SEMI 共同發布半導體產業資安標準 SEMI E187,同場也宣告半導體供應鏈資安聯盟正式成立,打造台灣半導體資安防護的「國家隊」,SEMI E187 會在2022年1月正式向全球公告,這是全球第一個由臺灣主導的資安標準,向世界展現臺灣的資安能量。
今年的SEMICON有更多臺灣的資安廠商參展,以SECPAAS主題館為核心,擴大為「資安專區」,參展的臺灣資安廠商包括奧義智慧科技、數聯資安、中華資安國際、睿控網安、全景軟體、來毅數位科技、精誠資訊、眾至資訊、大宏數創意、庫柏資訊軟體等等。
資安小聚一連三日,聚焦在半導體、軟體供應鏈與5G車聯網資安
在今年 SECPAAS 資安館的展區中,最重要的活動莫過於每日下午舉行的「資安小聚」,邀請來自產業界與資安領域的專家,以對談方式帶出目前業界重要的資安相關話題,包括「半導體供應鏈 X 資安標準」、「5G 車聯網 X 資安加值」與「軟體供應鏈 X 資安稽核」等等主題,都有詳盡的解析。
在首日舉行的「半導體供應鏈 X 資安標準」資安小聚,邀請到韋萊韜悅、安華聯網與 FIDO 台灣分會的講者,針對同日 發佈的半導體資安標準,帶來深度的討論。開場時主持人工研院卓傳育副組長提到,資安防護並非是一件「獨善其身」的事情,而是需要「標準化」讓上下游廠商有明確遵循的規範。而 FIDO 台灣分會的張心玲會長也提到,以半導體產業的設備機台為例,身份認證就是極為重要的環節,除了確保生產流程的安全性之外,也肩負稽核管理的重任,而此次 SEMI E187 的標準也引援了 FIDO 的規範,相對的未來 FIDO 也能協助將這個標準推廣到全球。
而韋萊韜悅的吳明璋資深協理也以鐵達尼號為例,說明工廠的資安也需要透過船艙分隔的方式,來避免駭客入侵導致「全網沉沒」,進一步做好風險管理,這對於企業來說也是節約成本的重要方式之一,以企業的資安保險為例,企業是否有落實資安標準也將導致保費有倍數的差異,而 SEMI 的資安標準就是為了讓產業能有明確的資安防護標準,而且除了半導體,未來像是封裝廠、PCB 產業等等科技產業也都可以持續透過這樣的規範而受益。
此外,安華聯網科技的潘勤強協理也提到,SEMI E187 標準只是奠定基礎的第一步,未來的持續推廣更需要靠詳實的指引與相關業者溝通,同時也需要搭配採購商或是政府的主動驅策,進一步加速業界落實規範,才能跟得上每日推陳出新的資安威脅。另外主持人也提到,未來 SECPAAS 平台也將與 SEMI 合作將相關標準轉換為企業資安評級的形式,讓廠商更容易理解,預計在 2022 年的第一季將會發佈,也將成為半導體產業資安標準推動的助力。
在第二天的主題「5G 車聯網 X 資安加值」的活動,也邀請到先前正式公佈自研電動車的 MIH 與中華資安國際帶來 5G 車聯網發展與相關的資安隱患。主持人工研院徐富桂經理在開場時提到,5G 時代的來臨讓許多新科技應用面世,其中車聯網也是 IT 市場的熱門話題,包括智慧輔助駕駛與資訊通訊應用也都是眾所關注,當然駭客同時也是虎視眈眈。
中華資安國際的邱品仁副理提到,車聯網可說是近兩年的熱門話題,尤其像特斯拉這樣高科技的電動車,讓大家看到汽車的未來樣貌,當然高科技的便利也伴隨著資安風險,不過事實上一般的汽車也不見得能逃過駭客的毒手,以一般的車用娛樂系統來說,就可能成為駭客下手的「侵入點」,透過裝載特定程式腳本的 USB 隨身碟,就可能讓駭客取得系統權限,造成系統設定上的更動,進而受到追蹤或是讓相關數據外流。
會中 MIH 的資安顧問江子良也提到,面對車用通訊、車用娛樂這類應用成為資安隱患的來源,MIH 在 2021 年也強調了「Security by Design」的概念,集結眾多軟硬體科技業者、新創公司與法人共同商討如何做到「零信任安全防護」的前提,共同合作研發車聯網的相關應用,而 MIH 的 EVKit 就是眾人集思廣益後的一套軟體定義架構,目前 MIH 也試著將這套架構與國外現有的電動車、資安聯盟進行介接整合,以確保產品設計出來都能讓大家安心使用,EVKit 創立初衷是以車主的角度出發,相較於單一廠商、單位主導,由國際頂尖的資安專家共同打造的生態圈,相信會更令人安心。
最後一日的「軟體供應鏈 X 資安稽核」主題,有來自思科台灣與安華聯網的資安專家,針對供應鏈安全帶來最新的趨勢。主持人工研院資深研究員鍾銘輝提到,供應鏈安全近幾年成為熱門話題,除了實體物流對於貨物被調包、竄改的防範,數位領域的資安防護也成為重要議題。安華聯網科技的白尚永產品經理指出,美國政府在 2021 年的五月頒布了一項針對供應鏈安全的行政命令,其中就包括了軟體安全的部份,而思科台灣的首席資安顧問游証硯也提到,思科早在三十幾年前就開始建立自有供應鏈的價值標準,除了企業自身,也與密切的夥伴合作建立安全架構,包括定期稽核、訪視,以及防護指引等等細節,尤其現今的供應鏈可說是「網網相連」,只要其中一個環結出問題,所有的生產都將停擺,造成莫大的損失。
白尚永產品經理提到,目前常見的駭客攻擊已不僅止於「偷走」你的資料,而是進一步在你的產品中植入後門程式,像是一些網通類的設備,就可能因為出廠的產品有安全性問題,造成資安事件無限擴大,進而影響到供應鏈的其他廠商,甚至是終端的消費者,後果不堪設想。而游証硯顧問也表示,思科針對產品的安全性十分重視,也鼓勵大家盡可能去將產品的漏洞「挖」出來,進而達到持續修補的效果。
資安 Pitch Show,廣邀國內資安廠商分享最新趨勢
在去年的 SEMICOM 國際半導體展中,SECPAAS 資安館所規劃的「資安 Pitch Show」邀請到國內知名的資安業者現身說法,為大家帶來最新的資安防護趨勢,同時也分享為數眾多的資安案例,獲得參觀者的熱烈迴響,而今年 SECPAAS 資安館也同樣一連三天推出了四個場次的講座,邀請八間資安廠商分享。
而今年的資安 Pitch Show 活動也延續了過往高效率、高價值內容風格,每一位資安專家透過 20 分鐘的時間為大家帶來更精華的內容,包括首日上午由全景軟體、TeamT5 杜浦數位安全針對近幾年造成全球各大產業廠商重大損害的勒索軟體攻擊的最新案例與對應的防範策略。
另外次日也有中華龍網、中華資安國際針對時下最夯的智慧化生產的資安防護,帶來實際應用的案例與相關防護措施的建議。
還有展期最後一日壓軸的庫柏資訊軟體、匯智安全科技針對企業機敏資料建置軌跡監控、無密碼資料加密與傳輸機制以防範外洩的實務經驗,以及來毅數位、大宏數創意針對疫情期間遠端存取與身份驗證需求所提出的解決方案,都為聆聽者的資安知識帶來滿滿加值。
供應鏈資安強化實務座談:撼訊、建迪分享實務經驗
對於製造業來說,資安防護的升級除了企業自身之外,與業務息息相關的上下游供應鏈也會是不可或缺的一環,因此 SECPAAS 也舉辦「供應鏈資安強化實務座談」,邀請顯示卡廠商撼訊,以及電動代步車業者建迪,分享自身的實務案例。
座談中撼訊科技的楊仕全經理提到,IT 與 OT 對於資安防護的思維完全不同,由於生產排程的關係,相關設備不可能隨便停機進行維護,因此也無法用既有的方式來做資安,而不少廠商也沒有事先擬定對應的劇本,若是發生資安事件時,只能選擇「收拾殘局」,也因此他透過 SECPAAS 平台的「企業資安評級服務」機制進一步了解公司資安防護的等級,並以量化評估的數據作為與高層討論資安升級的依據,不僅讓撼訊的資安合規,也能符合國際規範與合國際大廠的標準,能夠承接毛利更高的訂單。
建迪企業的余政嶸副理也提到公司先前發生過四起資安事件,後來發現多數與詐騙相關,後來建迪除了強化企業內網段的切分、應用程式沙箱測試與視覺化儀表板…等資安措施的強化,更進一步引導供應鏈端參與工業局新興物聯網資安示範推動計畫進行資安輔導,尤其針對社交工程強化訓練,也讓員工提升防範意識,可疑信件的開啟率也降低至 1/8 以下。
半導體供應鏈資安聯盟正式成立,同步發表資安標準 SEMI E187
由於現今各類型的智慧設備類型與數量眾多,對半導體產業的需求更是逐年提升,尤其受近兩年疫情影響造成產能不足,也大大影響了不同產業的發展,而「資安威脅」也成為半導體產業另一個必須正視的重要課題,其中最為知名的案例,莫過於 2018 年台積電因廠房機台受勒索軟體攻擊而造成生產停滯所帶來的龐大損失,因而讓相關產業積極面對資安防護的工作。
而台灣身為半導體產業的世界領頭羊,更是智慧化與自動化生產的先鋒,因此如何防堵駭客組織鎖定高科技產業攻擊的威脅,將成為供應鏈穩定的一大關鍵。為此國際半導體產業協會(SEMI)也花費多年與各大半導體廠商、資安業者跨界合作,研究制定符合半導體產業環境的全球資安標準。
而選在 2021 SEMICON 國際半導體展開幕日發布的「SEMI E187」,就是第一個由台灣所主導的國際產業標準,明訂了關於機台設備作業系統長期維運、版本更新的規範,以及相關設備在網路設定與監管的原則,另外包括端點設備的防毒機制與弱點掃描,以及針對資安資訊與事件管理等等,都是此項標準中的重要環節,而且除了半導體廠商,相關的協力廠商也都必須遵循規範內容,以確保整條供應鏈不會有絲毫漏洞。
此外,SEMI 同場也進行半導體供應鏈資安聯盟啟動儀式,包括台積電、台灣應用材料、日月光、台灣思科、奧義智慧科技、戴夫寇爾、富士康、工研院、科林研發、微軟、陽明交通大學、台灣迪恩士、睿控網安、聯電、台灣韋萊韜悅等等均為聯盟成員之一,且同樣為 SEMI E187 資安標準的推動者,經濟部工業局的長官也親自出席力挺,期盼未來能透過政府與民間共同合作的力量,為台灣打造無堅不摧的「護國神山」。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!