提升臺灣製造業資安防護力
(圖/路透)
爲提升其整體供應鏈資安防護強度,臺積電不僅加強公司內部資安防護機制及管理制度,並主動訂定「供應商資安評鑑標準」,於2021年先要求供應廠商以問卷形式檢視12類潛在資安風險與弱點,執行自我資安評鑑;到2022年2月更進一步要求供應商作第三方資安評鑑。根據這兩類評鑑結果,臺積電協助供應商擬定資安改善計劃並定期追蹤其執行成效。截至2022年11月底,在639家供應商中有418家獲得最優級,而277家於6個月內提升了1到2個資安等級。
由於臺積電在短短几年內於供應鏈安全達成如此令人印象深刻的結果,國際半導體產業協會(SEMI)遂參考臺積電的「供應商資安評鑑標準」及臺灣半導體各大廠資安部門的專家經驗,訂定出「資安風險評估通用問卷」,再搭配第三方資安風險評分工具,而成爲半導體廠商量身打造的資安風險評級服務,並於今年12月5日宣佈正式上線。
據工業局統計,臺灣製造業者只有約0.2%每年資安設備預算超過臺幣300萬且擁有完整自主資安團隊,約5%製造業者年資安設備預算超過300萬元但不具有完整資安團隊,其餘95%製造業者則資安設備預算與人才配置皆偏低。其中,電子資訊業和金屬機電業公司2020年的平均年資安設備預算都低於100萬元,但相同統計數據在金融業與醫療業則分別達2200萬和800萬。
絕大部分製造業公司的領導階層對資安的重要性在觀念上都已相當認同,但在作實際資安建設投資決定時,則每每眼高手低、言勝於行。此中最根本的原因是資安建置案的投資回報往往無法具體量化。由於投資回報不明確,這樣的提案在公司施政排序自然後移,終致不了了之。
因此,欲增加企業資安建設的投資,必以強化資安建設與公司總體經營目標的聯結爲先。舉例而言,2018年公告的《資通安全管理法》將全國公私立機關分成A、B、C、D、E5個資通安全責任等級。因爲公私立醫學中心、銀行和金融服務公司都屬A級關鍵基礎設施,資安防護要求最嚴格。因爲符合資安法規定乃經營的重點目標,這些單位的資安建設投資在近年來皆大幅成長。
然而,製造業並不在資安法規範的範圍,所以沒有大力投入資安建設的誘因。所幸,2020年以來的中美貿易大戰所掀起的供應鏈安全議題,爲臺灣製造業的資安化提供一道解套的曙光。
雖然臺積電在評量供應商資安防衛能力時,並沒有強迫供應商必須要達到特定的資安評鑑水準,但的確開誠佈公向廠商表達資安評鑑分數將成爲選擇供應商時重要的考量因素。易言之,強化內部資安不再只爲保護智慧財產或維持公司資訊系統的正常運作,而是一躍成爲加強整體產品競爭力策略的一環。對臺積電供應商的老闆而言,爲達到一定資安評鑑水準所需的資安建設,乃贏得臺積電青睞必作之事,其投資回報不但明確,甚至頗具急迫性,所以落實的機率大爲提高。
半導體制造業在自動化和智慧化的程度遠遠超過其他製造產業,而臺積電乃半導體制造業中領袖羣倫的翹楚。如今,臺積電成功地示範了一套可有效提升其供應鏈成員實質資安韌性的評鑑與改善機制,而SEMI也見賢思齊將相關資安稽覈項目及方案整理成標準作業程序。政府應將SEMI的資安風險評級服務介紹推廣至國內各大製造公協會,以作爲加強其相關產業供應鏈安全的參考。經由類此供應鏈上下游資安聯防的驅動與鞭策,臺灣製造業者不但能借此契機將自身資安防護能力脫胎換骨,更能進而一舉提升產品的整體競爭力。
(作者爲清大資工系合聘教授)