資安模範》它推動的準則 讓全球半導體業、德國車廠都採用

如今已在半導體製程技術領先同業、並持續擴大競爭優勢的台積電，在資安領域也是首屈一指的模範生，這套源自於供應商管理的資安規範，從台灣逐步應用至全球，成為國際半導體產業最重要的標準。

撰文／譚偉晟

一家設備廠，為什麼要找這麼多的資安人員？」不久前，台科大資工系特聘教授李漢銘對艾司摩爾（ASML）台灣廠區的高層拋出此問。艾司摩爾是全球半導體設備龍頭，是晶圓廠維持競爭力必須高度仰賴的關鍵夥伴，而對方的回答，令李漢銘印象深刻：「我們是台積電供應商，所以就必須符合（台積電的資安）標準。」

台積電能要求龍頭地位的艾司摩爾遵循資安規範，憑藉的是自身的巨大影響力。不過，這個影響力，並非僅限於台積電供應商，「現在，全世界半導體設備的資安標準，就是我們（台積電）定義的。」台積電董事長劉德音肯定地說。

也就是，除了艾司摩爾，包括美商應材、科林研發、東京威力科創等國際設備大廠，都必須依循台積電所定義的資安標準。這套國際資安標準，名為「SEMIE187」（簡稱E187）」。

E187地位有多高？E187重要推手之一，台灣資安廠睿控網安執行長劉榮太舉例，包含台灣的聯電與日月光、日本的東芝和Sony、美國的英特爾，都以E187為基準向設備供應商進行規範，他更透露，除了半導體業者，「德國汽車大廠已經採用，還有一些製藥產業的客人也有興趣。」

過去六年，台積電快速登上世界舞台，但除了在半導體製造技術領先、產能據點向外拓展之外，「世界的台積電」另一典範，就是資安領域的貢獻。然而這項成果的最初起點，竟是自家廠內的資安事件。

六年前產線停擺慘劇 催生資安部門

「記不記得，二○一八年，我們被Cyberattack（網路攻擊）？」劉德音說的，是當年台積電新竹廠區新機台安裝時遭WannaCry電腦病毒感染，且病毒透過內部網路快速擴散，造成多個廠區產線停擺的事件。「當感染問題解除，我們就決定成立資安部門。」劉德音說。

最初，資安部門是以供應商管理為主。其中的關鍵人物，便是一九年從美國半導體大廠MACOM招募、目前擔任台積電企業資訊安全處處長的屠震；而台積電也是在這一年成立供應鏈安全協會，針對供應商在入廠設備、公司內部的資安風險，進行評鑑與協助改善。

「但如果只管理自己的供應商，一旦更換供應商，新供應商就有疏漏的可能。」李漢銘說。也因此，在一八年病毒事件後，成立資安部門的台積電仍持續思考是否能擴大這套資安標準，藉此讓更多半導體業者提高資安意識，讓再次出現病毒攻擊事件的可能性降至最低。

為何推動資安規範如此重要？劉榮太解釋，能驅動資安發展的只有兩個「動力」，其一，是病毒的入侵與災害，但這樣的資安發展動力顯然是用可觀代價所換來；另一個發展動力，「就是資安規範。」透過標準的建立來驅動發展，而制定一個全球通用且具影響力的資安規範，更是驅動各地廠商持續改善資安的有效作法。

劉榮太指出，特別是製造業，過去的資安防毒多半屬於辦公室內，或是資料中心使用的設備，「但現在製造業、交通產業，到處都是需要守備的設施。」他舉例：「我們做過一個全球一五○大企業的訪談，四七％的公司曾遇過買進設備內有病毒。」

這樣的潛在危機，台積電自然希望極力避免，於是將原本用於供應鏈管理的資安規範，帶到了SEMI國際半導體產業協會，並於二一年六月成立SEMI台灣半導體資安委員會。這也是SEMI在全球的第一個國際級資安委員會。

屠震曾表示：「有好的標準只是一個開始，接下來更重要的工作，是要讓這個標準在產業內擴散。」確實，雖然已經有了廣受業界接納的規範，但在進一步推動的過程中，仍需要諸多對話。

對話的重點，在於如何在設備的「資安」與「生產力」之間取得平衡。舉例來說，「機台每天都要運作，你不能為了更新（設備系統）關機、中斷製程。」劉榮太進一步解釋，當資安規範要求設備必須採用「可維護、能持續更新」的系統時，事實上，某些專門用途的設備，「很可能還在採用WindowsXP這個已經停止維護十年的系統。」但是，「晶圓廠也沒有辦法不買這樣的設備。」

從最基本的設備必須防毒、針對各系統漏洞進行補強、入廠設備如何進行資安檢測，到規範設備廠如何做系統更新時程安排等，台積電、SEMI台灣半導體資安委員會與設備廠來回討論，終於在二二年一月正式公告E187規範，開始在國際推廣。

有了它 中小半導體廠更能要求設備廠

事實上，E187對台積電以外的晶圓廠與半導體業者而言，甚至更具價值。「比方說，我去日本拜訪東芝和Sony，他們（知道E187之後）會覺得很開心。」劉榮太解釋，對其他半導體業者而言，他們沒有能類比台積電的巨大影響力，也難以「靠自己」要求設備廠達到一定的資安標準。但有了台積電參與制定的資安標準，中小型半導體廠對設備廠的要求也更多了一份名正言順。

另一個讓E187快速普及的關鍵推手，是過往台積電的市場勁敵英特爾。劉榮太回憶，去年十一月，屠震在美國發表一場演說後，英特爾也決定加入推廣E187，「當時英特爾也推動成立半導體製造資安聯盟（SMCC），希望在E187的基礎上做更細緻的規範。」

台灣難當國際標準制定者 E187做到了

在台灣，E187的改善也沒有停下腳步，劉榮太透露，SEMI台灣半導體資安委員會已著手制定第二版本。「通常，台灣在國際上很難是『標準』制定者。」李漢銘點出E187獨特之處。

一場網路攻擊，讓台積電化危機為進步的動力，從半導體製程的霸主，晉升成為規範者。談到資安，劉德音不無驕傲地說：「國際每天會對各公司的資安部門Rate（評價）資安分數，因為有上萬次攻擊，他要分析你被攻擊的程度怎麼樣，我們Always Better Scorethan Intel、Better Scorethan Microsoft（永遠比英特爾高分，永遠比微軟高分）。」

閱讀完整內容