一場網攻讓台積變資安標準推手

資安模範》它推動的準則 讓全球半導體業、德國車廠都採用


如今已在半導體製程技術領先同業、並持續擴大競爭優勢的台積電,在資安領域也是首屈一指的模範生,這套源自於供應商管理的資安規範,從台灣逐步應用至全球,成為國際半導體產業最重要的標準。

撰文/譚偉晟

一家設備廠,為什麼要找這麼多的資安人員?」不久前,台科大資工系特聘教授李漢銘對艾司摩爾(ASML)台灣廠區的高層拋出此問。艾司摩爾是全球半導體設備龍頭,是晶圓廠維持競爭力必須高度仰賴的關鍵夥伴,而對方的回答,令李漢銘印象深刻:「我們是台積電供應商,所以就必須符合(台積電的資安)標準。」

台積電能要求龍頭地位的艾司摩爾遵循資安規範,憑藉的是自身的巨大影響力。不過,這個影響力,並非僅限於台積電供應商,「現在,全世界半導體設備的資安標準,就是我們(台積電)定義的。」台積電董事長劉德音肯定地說。

也就是,除了艾司摩爾,包括美商應材、科林研發、東京威力科創等國際設備大廠,都必須依循台積電所定義的資安標準。這套國際資安標準,名為「SEMIE187」(簡稱E187)」。


▲台積電的企業資訊安全處處長屠震(前排左二)除了在台積電內部推動更嚴謹的資安檢核機制,也與台灣半導體及資安產業,攜手推動E187資安規範到全世界。攝影·劉煥彥

E187地位有多高?E187重要推手之一,台灣資安廠睿控網安執行長劉榮太舉例,包含台灣的聯電與日月光、日本的東芝和Sony、美國的英特爾,都以E187為基準向設備供應商進行規範,他更透露,除了半導體業者,「德國汽車大廠已經採用,還有一些製藥產業的客人也有興趣。」

過去六年,台積電快速登上世界舞台,但除了在半導體製造技術領先、產能據點向外拓展之外,「世界的台積電」另一典範,就是資安領域的貢獻。然而這項成果的最初起點,竟是自家廠內的資安事件。

六年前產線停擺慘劇 催生資安部門

「記不記得,二○一八年,我們被Cyberattack(網路攻擊)?」劉德音說的,是當年台積電新竹廠區新機台安裝時遭WannaCry電腦病毒感染,且病毒透過內部網路快速擴散,造成多個廠區產線停擺的事件。「當感染問題解除,我們就決定成立資安部門。」劉德音說。

最初,資安部門是以供應商管理為主。其中的關鍵人物,便是一九年從美國半導體大廠MACOM招募、目前擔任台積電企業資訊安全處處長的屠震;而台積電也是在這一年成立供應鏈安全協會,針對供應商在入廠設備、公司內部的資安風險,進行評鑑與協助改善。

「但如果只管理自己的供應商,一旦更換供應商,新供應商就有疏漏的可能。」李漢銘說。也因此,在一八年病毒事件後,成立資安部門的台積電仍持續思考是否能擴大這套資安標準,藉此讓更多半導體業者提高資安意識,讓再次出現病毒攻擊事件的可能性降至最低。


為何推動資安規範如此重要?劉榮太解釋,能驅動資安發展的只有兩個「動力」,其一,是病毒的入侵與災害,但這樣的資安發展動力顯然是用可觀代價所換來;另一個發展動力,「就是資安規範。」透過標準的建立來驅動發展,而制定一個全球通用且具影響力的資安規範,更是驅動各地廠商持續改善資安的有效作法。

劉榮太指出,特別是製造業,過去的資安防毒多半屬於辦公室內,或是資料中心使用的設備,「但現在製造業、交通產業,到處都是需要守備的設施。」他舉例:「我們做過一個全球一五○大企業的訪談,四七%的公司曾遇過買進設備內有病毒。」

這樣的潛在危機,台積電自然希望極力避免,於是將原本用於供應鏈管理的資安規範,帶到了SEMI國際半導體產業協會,並於二一年六月成立SEMI台灣半導體資安委員會。這也是SEMI在全球的第一個國際級資安委員會。

屠震曾表示:「有好的標準只是一個開始,接下來更重要的工作,是要讓這個標準在產業內擴散。」確實,雖然已經有了廣受業界接納的規範,但在進一步推動的過程中,仍需要諸多對話。

對話的重點,在於如何在設備的「資安」與「生產力」之間取得平衡。舉例來說,「機台每天都要運作,你不能為了更新(設備系統)關機、中斷製程。」劉榮太進一步解釋,當資安規範要求設備必須採用「可維護、能持續更新」的系統時,事實上,某些專門用途的設備,「很可能還在採用WindowsXP這個已經停止維護十年的系統。」但是,「晶圓廠也沒有辦法不買這樣的設備。」

從最基本的設備必須防毒、針對各系統漏洞進行補強、入廠設備如何進行資安檢測,到規範設備廠如何做系統更新時程安排等,台積電、SEMI台灣半導體資安委員會與設備廠來回討論,終於在二二年一月正式公告E187規範,開始在國際推廣。


▲台積電推動全球半導體設備資安標準,對其他半導體製造業者而言,也能藉此以同樣標準要求設備供應商。>台積電提供

有了它 中小半導體廠更能要求設備廠

事實上,E187對台積電以外的晶圓廠與半導體業者而言,甚至更具價值。「比方說,我去日本拜訪東芝和Sony,他們(知道E187之後)會覺得很開心。」劉榮太解釋,對其他半導體業者而言,他們沒有能類比台積電的巨大影響力,也難以「靠自己」要求設備廠達到一定的資安標準。但有了台積電參與制定的資安標準,中小型半導體廠對設備廠的要求也更多了一份名正言順。

另一個讓E187快速普及的關鍵推手,是過往台積電的市場勁敵英特爾。劉榮太回憶,去年十一月,屠震在美國發表一場演說後,英特爾也決定加入推廣E187,「當時英特爾也推動成立半導體製造資安聯盟(SMCC),希望在E187的基礎上做更細緻的規範。」

台灣難當國際標準制定者 E187做到了

在台灣,E187的改善也沒有停下腳步,劉榮太透露,SEMI台灣半導體資安委員會已著手制定第二版本。「通常,台灣在國際上很難是『標準』制定者。」李漢銘點出E187獨特之處。

一場網路攻擊,讓台積電化危機為進步的動力,從半導體製程的霸主,晉升成為規範者。談到資安,劉德音不無驕傲地說:「國際每天會對各公司的資安部門Rate(評價)資安分數,因為有上萬次攻擊,他要分析你被攻擊的程度怎麼樣,我們Always Better Scorethan Intel、Better Scorethan Microsoft(永遠比英特爾高分,永遠比微軟高分)。」

閱讀完整內容
今周刊2024/6月 第1432期

本文摘錄自‎

一場網攻讓台積變資安標準推手

今周刊

2024/6月 第1432期