《产业》SEMI公布参考架构 助建半导体制造资安堡垒

工业4.0及数位科技兴起,使资讯科技(IT)与营运科技(OT)走向互联,越来越多的系统、资产、人员和机器相互连接,虽大幅增加生产力,却也使网路攻击风险指数级增加,一旦任何环节出现漏洞,很容易成为恶意攻击或勒索软体锁定目标。

据趋势科技「预先防范风险:2023上半年资安总评」报告指出,台湾今年上半年侦测到的恶意连结达4400万笔,高居全球第三。Fortinet公布的「2023上半年全球资安威胁报告」也显示,台湾上半年平均每秒就有近1.5万次攻击发生,高居亚太之冠、且年增逾8成。

同时,骇客手法正从随机入侵转变成针对性攻击,以追求经济利益极大化。除了勒索软体组织不断精进攻击手法,生成式AI工具也大量运用于提高虚拟犯罪效率,同时利用常见的企业软体漏洞,从资料加密转向资料窃取。

有鉴于此,SEMI继公布SEMI E187标准基本实施检核表及半导体资安风险评级服务后,再特别提出「半导体制造环境资讯网路安全参考架构」,针对半导体制造环境定义出一套通用且最低限度的安全要求,使企业资安管理者可据此妥善评估,并制定相关策略及补救措施。

「半导体制造环境资讯网路安全参考架构」包括电脑作业系统规范、网路安全、端点保护、资讯安全监控等四大层面,并采用业界熟悉的普渡模型(Purdue Model),涵盖第0~5层的IT、OT与工控场域,逐一提出相关参考架构。

SEMI建议供应链应将SEMI E187列为采购规格,并鼓励更多半导体设备厂取得资安合格性证书,加速提升厂房整体资安防护水平。同时,也计划在2024年将相关参考规范与认证机制,推向全世界的半导体上下游伙伴,以期共同打造坚韧的资安联防堡垒。

SEMI全球行销长暨台湾区总裁曹世纶指出,半导体制造业纷纷加速数位转型脚步,使IT、OT与云端的数据整合日益重要,但资安防护的难度有增无减。SEMI台湾半导体资安委员会持续推进SEMI?E187标准完备性,对于全球半导体供应链的资安防护带来极大贡献。

SEMI台湾半导体资安委员会主席暨台积电企业资安处长屠震表示,半导体业过去缺乏一致性资安标准、或因机台老旧无法更新,使相关设备与节点暴露在高风险环境下,供应商、员工或承包商都可能成为资安破口,动辄影响营运、造成财损或伤害品牌信誉与合作关系。

屠震指出,「半导体制造环境资讯网路安全参考架构」提出更具结构化的网路安全设计,不仅有助于了解工厂内所有网路资产状况,也能洞察这些资产及在网路中的通讯状况,可保护设备免受恶意软体带来的各种威胁。