近年來,為促進資安人才的培育,臺灣陸續推出了「金融資安人才職能地圖」、「臺灣資安職務地圖-新興資安產業版」,目的就是希望,能夠針對該領域的不同特性,提供適用的人才技能需求的盤點,讓產業在尋求或培訓不同資安人才時,可以更了解人員所需技能或課程規畫方向。
依經濟部工業局的智慧電子人才應用發展推動計畫網站公布的資訊來看,當中列出建置產業共通關鍵核心人才專業職能基準的推動措施,而這項人才發展計畫主要是委託資策會執行。
據了解,當中已建立半導體資安人才專業職能基準的發展項目,並由多個專家學者協助職能基準的資料蒐集,預計今年推出。
半導體產業資安有何不同?需同時側重OT資安維運與產品安全
這幾年以來,半導體資安的議題屢屢成為焦點,在此一高科技領域中,儘管從產值來看,半導體業要高薪搶資安人才是比其他產業容易,但究竟半導體在尋覓資安人才時,是否有不同的需求?為了回答這個問題,我們找到2022年底協助半導體資安人才產業調查與研究的一位學者來解答,他是台北科技大學資訊工程系副教授陳昱圻。
關於半導體公司在IT層面遇到的資安問題,他認為,基本上,與原本大家所認知的資安相當,但主要差異有二:一是涉及OT環境的資安維運面向,額外需要半導體領域的知識,考量也會有所不同,而且本身會有補強方式,另一是對產品安全開發的特定領域很看重,尤其是硬體安全與密碼學。
硬體安全與密碼學的資安人才看似冷門,在半導體產業卻很重要
現在半導體公司如何看待資安人才?陳昱圻表示,以大廠而言,大多都有自己的體系,也就是有公司專屬的用人方式與聘用準則,不過,在挑選資安人才時,對於求職者的背景要求,還是希望能有更多半導體領域的知識技能,並且同時具備資安的能力。
再從人員養成現況來看,在陳昱圻的觀察中,普遍都是老鳥帶新人,亦即新進人員先到公司再學。例如,面對半導體產線更新修補的挑戰上,若對這類OT環境了解太少,容易遇到不知該從何下手的困境,有時是前輩帶領著走一條路線,未來遇到類似狀況,就知道怎麼處理。但這樣大幅依賴熟手指引的經驗傳承,挑戰是缺乏系統性培育方法。
半導體公司需要那些資安人才?陳昱圻認為,以企業內部防護的資安人才需求而言,若要以資安人才職能對應,原則上還是可以先與一般產業來對齊,再用補充方式針對OT資安維運說明。
較特別的是,以產品安全的資安人才需求而言,其需求規模雖然可能不大,但卻已有很多公司表明,要找到這方面的人才不容易。他舉例:半導體的晶片開發需要密碼學的實務,而密碼學也分成很多,這就看公司的目標與要求,而且,所用的硬體、軟體、韌體都不相同。
換言之,他們不僅需要普遍企業防禦所需人才,也需要硬體安全與密碼學類型人才,像是如何將這些密碼標準實作導入,並滿足晶片的限制與條件等。
而且,以無晶圓廠(fabless)的半導體業而言,會關注演算法設計與應用,而有晶圓廠的半導體業,還會涉及製造安全、製造環境的安全。甚至,絕大多數半導體公司的普遍期望是:每個產品設計的人都有資安的概念,這也呼應近年眾人不斷談及的Security by Design,希望負責產品開發的人,本身就具備產品安全生命週期的開發能力與執行力。
無論如何,臺灣是國際上半導體產業的重鎮,因此國際間並無針對半導體業資安人才技能框架的借鏡,若能建立相關資源成為參考,未來有更多意見參與之下,也能促成一些變化,讓這樣的人才職能基準調整至更適用狀態。
在經濟部工業局的智慧電子人才應用發展推動計畫網站上,已有建置產業共通關鍵核心人才專業職能基準的推動措施,據了解,目前正進行半導體資安人才專業職能基準的發展項目,預計2023年推出。
本文出自《CYBER TALENT 臺灣資安人才專刊》
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-22