▲台積電參加今年8月舉行的2020台灣資安大會。(圖片來源:劉煥彥攝)
走進今年在台北南港展覽館的台灣資安大會展場,參觀者很難不注意到位於主要動線上的台積電攤位,台積電資訊技術安全專案部經理張啟煌也以「半導體供應鏈資安實務分享」為題發表演講。
台積電明明是晶圓代工龍頭,為何出現在以軟體應用為主的資安產業會場?
原來,這一切都要從2018年8月的機台中毒事件說起。
機台中毒事件 促使台積全面強化資安
2018年11月,台積在該年第三季財報內的綜合損益表部分,加了這段附註:
「本公司於(民國)107年8月3日受到電腦病毒感染,影響台灣廠區部分電腦系統及廠房機台,致相關晶圓生產亦受波及,所有受影響機台均已於107年8月6日恢復正常,本公司107年第3季認列電腦病毒感染相關損失2,596,046 仟元。」
機台中毒事件對台積電的影響,並未在財報認列損失後就結束,反而使台積開始了全新的鞏固資安作為。
▲台積電每季發行供應商資安電子報,宣導機密保護資訊。(圖片來源:台積電官網)
根據台積電在今年台灣資安大會展場揭露內容,以及2019年企業社會責任報告書及官網內容,台積為了打造資安長城,過去兩年來至少做了以下四件事:
第一,2019年成立供應商資訊安全協會,藉由供應鏈資安風險評鑑及資安實務合作及分享,持續強化供應鏈資安防衛,要求供應商達到台積電規定的標準。
截至今年3月,台積電透過該協會已召開13場供應商資安會議,2020全年預計將召開九場,並完成九家以上供應商資安考核,與12家供應商的資安改善專案。
▲台積電在SEMI推動成立工作小組,制定半導體生產設備的全球資安標準。(圖片來源:劉煥彥攝)
第二,台積在國際半導體產業協會(SEMI)推動成立跨產業工作小組,研究制定半導體設備的全球資訊安全標準。
參與這個工作小組的工研院資通所資料中心系統軟體組副組長卓傳育博士表示,台積電之所以想推動SEMI認可的全球半導體設備資安標準,是因為在前年機台中毒事件發現,購自日本、荷蘭或美國的產線機台,每台造價從數億元台幣至數十億元不等,一旦買進來就會用上20~30年,惟之前原廠大多未安裝防毒軟體,台積IT人員又不敢隨意更動原廠設定。
不僅如此,製造商為確保設備運作高度穩定,有些設備使用的電腦作業系統是年代「久遠」的Windows XP(微軟2001年10月推出,2019年終止支援)。
半導體設備動輒上億元 但OS還在用Windows XP
SEMI已經給予這套標準SNAF#6506的案號,可望成為第一個由台灣主導的國際標準,惟目前仍由工作小組彙整各方意見中,尚未最後底定。
卓傳育說明,台灣科技業之所以推動這個產業標準,是希望未來各家半導體設備製造商的產品,在資安上達到多項標準,例如作業系統不能太老舊、機台應用程式可自行隔離異常狀況、機台要能自動回報任何資安事件等,避免任何資安狀況打斷晶圓廠產線運作。
台積多管齊下 建立產線多重資安防線
第三,明訂資安風險評估及管理流程,建立自動化資安管理系統,並取得ISO 27001資訊安全認證。
在實務上,台積已建置自動化掃毒及防毒系統,防止有惡意軟體的機台進入公司;強化網路防火牆與網路控管,預防電腦病毒跨機台及跨廠區擴散;並依電腦類型建置端點防毒措施。
第四,加強與學界及業界合作,共同培育資安人才。
例如,台積攜手華碩(2357)及鴻海(2317),研發高規格資安智慧手機;與中華資安、安碁資訊(6690)及台灣微軟開發資安解決方案,並且擴大招募資安人才。
台灣成半導體強國 科技業成駭客攻擊對象
國內資安業者奧義智慧科技調查發現,近年來中國以多批駭客入侵竹科半導體業者,過去兩年來至少侵入七家相關廠商(及其子公司),從台廠的晶片設計、軟體開發工具到原始程式碼都想偷。
這就意味,隨著台灣成為半導體技術的強國,台廠面對的資安威脅同步上升,在強化本身技術水準之餘,也需要持續升級本身的資安防衛。