「如果我家圍牆築得很高,可是我的鄰居都遭小偷了,那我住起來會安心嗎?」在2020臺灣資安大會的供應鏈安全論壇中,台積電部經理張啟煌在一場議程上分享供應鏈資訊安全實務。

供應鏈安全的議題近年備受關注,該如何積極因應?而在國內半導體領域當中,向來是資安模範生台灣積體電路製造(以下簡稱台積電),對於這樣的風險也已經開始重視,在2020臺灣資安大會的供應鏈安全論壇中,該公司部經理張啟煌在一場專題演講分享供應鏈資訊安全實務,並提到了他們近一年來在資安上的新作為。

在這場演講中,有兩大焦點值得關注,首先是因應公司對公司的供應鏈安全議題,現在,台積電與相關業者已經成立了一個供應商資訊安全協會,另一個供應鏈議題的層面,是面對半導體設備的資安難題,台積電在國際半導體產業設備與材料協會SEMI已成立相關小組,正訂定機臺資安的標準,促使設備供應商應從設備開發就要將資安納入考量。

而這些作為其實突顯出,台積電對於資安的要求,已經不只專注於自身,甚至要帶領供應鏈與產業前進,為各界做出相當成功的示範。

事實上,關於供應商資訊安全協會的成立,是在2019年7月成立,只是外界並不知情,直到今年5月底,台積電在其企業社會責任(CSR)網站正式對外公布此事,後續我們也曾詢問該協會的成效,與改善供應商實例,不過當時未獲回應。難得的是,在這次演講上,張啟煌剛好提到這個協會的發展概況。

不只是要幫助供應鏈強化資安,甚至長期也將能影響各自的供應鏈

為何企業在供應鏈上下游、合作夥伴必須強化資安的面向,張啟煌在講解簡報時,他用了一個很生動的比喻:「如果我家圍牆築得很高,可是我的鄰居都遭小偷了,那我住起來會安心嗎?」他表示,透過這個供應商資訊安全協會的平臺,他們會定期開會,與供應商溝通一些資安規範,更重要的是,他們還有一套資安風險評鑑的分析。

現在,台積電已建立強化供應鏈資安系統(TSMC Supplier Chain Security Association,TSMC-SCSA),以確保公司的持續營運與競爭力,而初期納入導入目標的是重點供應商與合作夥伴。在具體作法上,有兩種形式,包括透過第三方服務做到快速風險評估,同時,台積電本身也有自己的評鑑方式。

張啟煌說明,在談供應鏈的資安時,最重要的部分,還是要知道有什麼弱點。例如,運用第三方的企業資安風險評等服務,就是一種方式,可以快速對供應商做資安評鑑,他覺得這點很重要,否則,不知道弱點在哪,又該如何改善?

而且,台積電本身也有自己的一套評鑑方式。這是因為第三方服務通常是情資蒐集,從外部的資訊分析狀況,分析弱點及改善重點,這種方法雖快,但如果要知道資安的政策、組織與人力,甚至實體安全程度等,因此,他們還會用自己的方式來評估,並建立資安評核標準,來與供應商溝通,而對於合作緊密的供應商,也會有更高的要求。

同時,台積電也會定期發布供應商資訊安全電子報,當中包含資訊分享與遵守規範,例如,近期的新政策,合作的解決方案,或是資安警覺性的資訊,以及供應商違規的狀況,藉此與供應商一起合作加強資安。張啟煌指出,有了大家相互的成長,之後,供應商甚至也可以影響到他們的供應商,達到聯防的概念。

長期而言,這意謂著,將可藉此影響各自的供應鏈,進而提升臺灣半導體產業的資安環境與水準。

從產業標準發力,在SEMI成立資安標準工作小組,讓半導體設備供應商需在其產品考量資安

在半導體製造領域會有哪些資安難題?張啟煌在演講時曾提到,例如,半導體設備的生命週期超過30年,因此這些設備將面臨系統終止支援(End of Support,EoS)的威脅,還有設備幾乎不停機在運作,系統難以更新修補的狀況,以及面臨缺乏產業標準、更多系統整合、遠端等議題的風險。

由於近年資安攻擊事件已對臺灣的半導體產業帶來威脅,在這次議程上,張啟煌指出,台積電已經帶領半導體供應鏈制定機臺資安標準。

這項標準的制定,還在進行階段。他們去年初在SEMI就成立相關小組,後續相關草案也已經訂出。現場,張啟煌也說明了目前的最新進度,該草案已經送交給全球的SEMI會員投票。

顯然,這是希望藉由建立相關標準,讓全球半導體設備廠商在資安上能有遵循的規範,而特別的是,這樣的標準是由臺灣產業來帶頭及參與標準制定。

最後值得一提的是,要做到精進資安防衛,產業交流合作也很重要,而我們看到近年台積電也已有了較積極的作法。例如,近年他們參與多場臺灣營業祕密保護的研討會,今年也參與2020臺灣資安大會,還有多項在產業界與學術界的合作,這些都是協助臺灣產業強化資安能量的具體行動。

熱門新聞

Advertisement