SEMI E187 剛出爐的半導體製造環境資訊網路安全參考架構提出結構化的網路安全設計,不僅有助於瞭解工廠內所有網路資產的狀況,洞察資產在網路中的通訊狀況,亦可保護設備免受惡意軟體帶來的各種威脅。
採訪/施鑫澤·文/林裕洋·刊期/2024.08
回顧 2018 年,身為全球晶圓代工龍頭的臺積電,儘管向來非常重製資安防護工作,然在駭客攻擊手法多元下,最終依然爆發遭到勒索軟入侵,導致產線被迫停止 24 小時運作的憾事,預估停工損失高達 50~60 億臺幣。臺積電在重新審視自身的資安防護機制與策略外,也決定擔負提升全球半導體資安防護力的重責大任,除攜手各領域夥伴共同制定半導體首個資安標準 E187 之外,2021 年也攜手 SEMI 成立 SEMI臺灣半導體資安委員會。
SEMI 臺灣半導體資安委員會共有四個工作小組,各自負責專屬工作事項,如第一工作小組曾發布的 SEMI E187 Checklist(SEMI E187標準基本實施檢核表),其中量身打造的半導體產業別通用問卷,為產業提供業界之樣態且增加產業資安評估效率。
[推薦文章:SEMI 攜手半導體供應鏈 提升資安實力 ]
身為 SEMI 臺灣半導體資安委員會第四工作小組成員的陽明交通大學終身講座教授謝續平說,第四工作小組工作著要是訂定工作相關指引,其他工作小組則會規劃實施方式、制定評估表準等。近期最新發表的「半導體製造環境資訊網路安全參考架構」,便是針對半導體製造環境定義出一套通用且最低限度的安全要求,包括電腦作業系統規範、網路安全、端點保護、資訊安全即時監控(Visibility & Control)等四大層面,並採用業界熟悉的普渡模型(Purdue Model)。
半導體製造環境資訊網路安全參考架構涵蓋第零層到第五層的 IT、OT 與工控場域,逐一提出網路、裝置、與應用軟體之合規、組態管理與行為即時監控、漏洞與修補管理、近端與遠端接取、安全資料交換、威脅防禦、偵測與回應等參考架構,企業資安管理者可藉此妥善評估基礎資產應用、相關風險以及如何針對這些問題制訂網路存取策略或補救措施。
發表半導體網路模型 有助 SEMI E187 落實
由臺灣業界制訂的第一個半導體資安國際標準 SEMI E187,目前已有均豪精密與東捷科技獲得首批 SEMI E187 半導體設備資安合格性證書
(Verification of Conformity;VoC)。而 SEMI 臺灣半導體資安委員會在推出半導體資安風險評級服務之餘,進一步推出 365 天全方面防護方案,引進第三方風險評分和風險態勢服務,協助廠商監控供應商資安態勢,並導入 Panorays 第三方網域掃描服務技術,進一步提升安全防護機制。隨著臺灣半導體業界對資安意識的逐步提升及落地實踐,目前已有臺積電等半導體業者,將SEMI E187 列為採購設備標準之一。
至於 SEMI 半導體資安委員會第一工作小組提出的 SEMI E187 標準基本實施檢核表,則訴求在作業系統方面更新版本至少要在 12 個月內有效,必須保持最新的安全修補,網路方面則要提供 HTTPS、SFTP、SSH 的安全協定,終端保護需要有弱點掃描、惡意軟體監控等功能,機台要有接取控制的設定等等。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
謝續平指出,長久以來,半導體產業一直缺乏一致性的資安標準,或因機台老舊而無法更新,使得相關設備與節點暴露在高風險環境之下,無論是供應商、員工或承包商都可能成為資安破口,動輒影響營運,造成財務損失或傷害品牌信譽與合作關係。半導體製造環境資訊網路安全參考架構提出更具結構化的網路安全設計,不僅有助於瞭解工廠內所有網路資產的狀況,也能洞察這些資產在網路中的通訊狀況,可保護設備免受惡意軟體帶來的各種威脅。
推動公司治理 董事會參與資安策略制定
早期在追求利潤最大化的前提下,企業營運指標端看獲利能力。然而隨著企業永續、社會責任等議題受到重視,公司治理概念也成為備受關注的議題。公司治理是指一種指導及管理企業的機制,以落實企業經營者的責任,並保障股東的合法權益及兼顧其他利害關係人的利益。自 1999 年 OECD(經濟合作暨發展組織)公司治理原則問世後,已被各界公認為良好公司治理的國際基準。隨著 OECD 新版公司治理原將永續納入,企業在 ESG、資安等領域落實程度,也成為公司治理不可或缺的一環。
謝續平表示,SEMI 臺灣半導體資安委員會的第四項工作重點是依據半導體產業主要資安風險,訂定相關指引,目前已經陸續訂定兩項指引,包含「E187參考實務」以及「製造環境資訊安全參考架構」,未來將持續評估供應鏈共通風險且進一步提出改善方案,以作為企業 CEO 或董事會制訂資安策略的參考。
[推薦文章:安全管理觀念正確的心態 ]
長期以來,無論是 CEO 或董事會都將資安治理視為專業領域的工作,全權交給 IT 或資安部門處理,然這種看似理所當然的做法有很大問題。事實上,在 ISO 27001第一章節中便提到制定資安政策的重要性,必須依照不同公司特性,找出最重要的核心業務後,再依此制定資安政策。
舉例來說,製造業在制定資安政策時應該要有廠長參與,因為該主管是最熟悉工廠運作的人員,深知產線運作過程中的細節與彼此之間關聯為何。如此一來,資安政策才能達成保護產線運作的目標,不會影響到原有的生產流程。
資安政策符合需求 才能達到治理目標
金管會透過修改公司法方式,要求上市上櫃公司需依照規費配置資訊安全人力資源,如資安長、資安專責主管及人員等。
然而,現今多數企業每年董事會核可編列相關預算之後,即交由技術部門全權負責。然而抓病毒與防堵威脅降低企業風險卻是截然不同的兩件事情,企業若要防範資安威脅事件發生,便必須從董事會層面開始參與,從上到下全面融入資安思維,才能制定一套符合公司發展與營運需求的資安政策。
「過往落實資安政策的最大挑戰在於網路行為的可視化,如最新問世的 ISO 27001:2022 中,即特別強調看見(visibility)問題和有效監管的問題。現今市面上有很多可視化工具可以選擇,助資安人員克服過往網路可視性不足的問題,能夠掌握每個事業群(Business Group,BG)的資安狀況,保護核心資產與生產運轉,才能滿足治理所需。」
謝續平解釋:「從公司治理角度來看,集團中每個事業單位都需有專職人員參與資安管理,畢竟每個事業群的營運特性迥異,僅 IT 人員透過資安工具遠端監控資安狀況,不易瞭解某些行為對事業單位帶來的衝擊。如 IT 人員發現有員工連上某個網站,但若非親身處於該環境中,不易瞭解該員工行為背後的意義,如此便成為落實公司治理的最大隱憂。」因此,企業在制定資安策略過程中,不僅應有董事會成員參與,也必須連同事業群部門共同參加,才能讓策略符合營運需求,達到提升公司治理效率的目的。
落實 RACI 概念 有助減少營運風險
長期關注臺灣資安落實狀況的謝續平發現,許多企業均有公司治理的盲點,除 IT 人員因為過往接受較多資安意識訓練,許多人也欠缺 RACI(角色分工,負責者(Responsible)、當責者(Accountable)、事先諮詢者(Consulted)和事後告知者(Informed))的概念。簡單來說,即是誰負責哪些工作必須定義清楚,才能讓相關政策執行能落實、達成預定目標,讓公司治理更為完善。
舉例來說,BG 單位可能基於某些突發事件或工作需求,可能會要求 IT 人員將 A 廠區電腦搬移到 B 廠區之中,或者將辦公室裡的電腦搬移到產線區。但是廠區之間環境迥異,資安要求也有大不同,更遑論辦公室環境與生產線之間的差距更大,此種要求往往會造成資安問題,成為落實公司治理的大障礙。
謝續平指出,很多事業單位要 IT 人員負責所有與電腦相關工作,但是在請求協助時並沒有公司治理的思維,無法落實 RACI 工作。在此狀況之下,即便 IT 人員明知電腦設備移動可能造成資安風險,但也只能在壓力被迫做出存在風險的工作。
陽明交大首創以網路攻防平台為基礎 全力培養高階資安實務人才
回顧 2014 年,由陽明交大資工、CHROOT、臺大 217 等年輕駭客組成的臺灣駭客團隊 HITCON,在美國拉斯維加斯舉辦的駭客大賽 DEF CON CTF(搶旗攻防戰)中獲得全球第二名佳績。此亮眼成績除讓民眾見識到臺灣年輕學子積極投入資安領域的熱情外,也發現當時交大已投入資安學程與人才培育的亮眼成績。
陽明交大年投入資源於網路攻防相關研究與教學之發展多年,並成立資通安全研究與教學實驗室,開設資訊安全相關學程。交通大學資訊工程學系在資訊與網路安全研究領域上擁有全國陣容最為堅強的師資與傳統。包括 AI 智能自動化網路攻防實務、駭客行為分析、企業網安實務、系統安全、網路安全、軟體安全以及密碼理論,均有專任的師資以及諸多優秀的同學投入相關的研究與活動。
[ 熱門精選:專訪國立陽明交通大學資訊學院副院長陳添福教授 ]
2005 年 4 月配合臺灣資通安全研究與教學中心(Taiwan Information Security Center,簡稱 TWISC),設立中區 TWISC@NCTU 研究與教學中心。2010 年更將其提升為校級中心。透過整合現有 TWISC@NYCU 教研資源、國防資電科技中心設備資源,所建構之資安課程更為全國大專院校中最為完整之編制,從基礎知識到進階技術一應俱全,特別值得一提的是陽明交大擁有全國首屈一指的攻防平台可用於支援研究與教學。
謝續平指出,培養高階資安人才,陽明交大資訊學院以兩大實驗平台:AI 智能自動化攻擊威脅產生平台(AI-Empowered Threat Generator)以及 AI 智能自動威脅監控(Visibility & Control)平台,培育學員網路攻防能力,包括資安攻防的技術能力、實務技術演練、攻防案例分析,與應用平台操作等。
另外,也成立資訊安全研究所、國防資安管理碩士在職專班、科技犯罪偵查資通訊碩士在職專班,期盼達成「培養前瞻資通安全知識、資訊安全設計與跨領域整合能力」、「培育具獨立研發能力之資訊安全人才」、「培育具有國際觀、團隊合作與溝通領導能力之資訊安全專業人才」等教學目標。
根據陽明交通大學提供資料顯示,透過成立資訊安全研究所方式,達成師生共同探索資安領域的理論與實踐,促進學術研究的深化與創新。所以在課程設計上,也強調理論與實務並重,提供豐富多元的學習環境與實驗室設備。學生除了獲得扎實的理論基礎外,還能參與真實案例分析與解決方案的探討,培養解決問題的能力。
最後透過國際交流,促進與國際頂尖資安機構的合作交流,提供學生國際化的學習機會,拓展國際視野與人脈關係。讓學生有機會參加國際學術會議、交流訪問、海外實習等活動,增進專業知識與跨文化溝通能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)