《產業》SEMI公佈參考架構 助建半導體制造資安堡壘

工業4.0及數位科技興起,使資訊科技(IT)與營運科技(OT)走向互聯,越來越多的系統、資產、人員和機器相互連接,雖大幅增加生產力,卻也使網路攻擊風險指數級增加,一旦任何環節出現漏洞,很容易成爲惡意攻擊或勒索軟體鎖定目標。

據趨勢科技「預先防範風險:2023上半年資安總評」報告指出,臺灣今年上半年偵測到的惡意連結達4400萬筆,高居全球第三。Fortinet公佈的「2023上半年全球資安威脅報告」也顯示,臺灣上半年平均每秒就有近1.5萬次攻擊發生,高居亞太之冠、且年增逾8成。

同時,駭客手法正從隨機入侵轉變成針對性攻擊,以追求經濟利益極大化。除了勒索軟體組織不斷精進攻擊手法,生成式AI工具也大量運用於提高虛擬犯罪效率,同時利用常見的企業軟體漏洞,從資料加密轉向資料竊取。

有鑑於此,SEMI繼公佈SEMI E187標準基本實施檢核表及半導體資安風險評級服務後,再特別提出「半導體制造環境資訊網路安全參考架構」,針對半導體制造環境定義出一套通用且最低限度的安全要求,使企業資安管理者可據此妥善評估,並制定相關策略及補救措施。

「半導體制造環境資訊網路安全參考架構」包括電腦作業系統規範、網路安全、端點保護、資訊安全監控等四大層面,並採用業界熟悉的普渡模型(Purdue Model),涵蓋第0~5層的IT、OT與工控場域,逐一提出相關參考架構。

SEMI建議供應鏈應將SEMI E187列爲採購規格,並鼓勵更多半導體設備廠取得資安合格性證書,加速提升廠房整體資安防護水平。同時,也計劃在2024年將相關參考規範與認證機制,推向全世界的半導體上下游夥伴,以期共同打造堅韌的資安聯防堡壘。

SEMI全球行銷長暨臺灣區總裁曹世綸指出,半導體制造業紛紛加速數位轉型腳步,使IT、OT與雲端的數據整合日益重要,但資安防護的難度有增無減。SEMI臺灣半導體資安委員會持續推進SEMI?E187標準完備性,對於全球半導體供應鏈的資安防護帶來極大貢獻。

SEMI臺灣半導體資安委員會主席暨臺積電企業資安處長屠震表示,半導體業過去缺乏一致性資安標準、或因機臺老舊無法更新,使相關設備與節點暴露在高風險環境下,供應商、員工或承包商都可能成爲資安破口,動輒影響營運、造成財損或傷害品牌信譽與合作關係。

屠震指出,「半導體制造環境資訊網路安全參考架構」提出更具結構化的網路安全設計,不僅有助於瞭解工廠內所有網路資產狀況,也能洞察這些資產及在網路中的通訊狀況,可保護設備免受惡意軟體帶來的各種威脅。