在台積電機臺中毒事件半年後,最近一兩個月,我們開始注意到臺灣半導體產業對於資訊安全議題的重視,例如,推動半導體資安標準,而在5月中的一場活動上,工研院資通所副組長卓傳育更是進一步揭露制訂這項標準的現況與目標。(攝影/羅正漢)

去年8月,晶圓代工龍頭台積電爆發機臺中毒事件,讓生產線的資安議題浮上檯面,大家開始注意到IT與OT環境的先天差異,臺灣半導體產業如今也積極推相關資安標準,例如,在5月中由經濟部工業局委託工研院執行的國際資安新創交流活動上,工研院資通所副組長卓傳育揭露了相關現況,以及關於這項標準制訂的目標與挑戰。

整體而言,對於資安的議題,國內半導體產業已經不像過去被動,準備在資安標準方面發力。相較於目前市面上的資安標準包括ISO 27001,以及工控系統標準IEC 62443等,在半導體產業中的相關標準,則是在國際半導體產業設備與材料協會(SEMI)平臺下形成,像是關於化學、材料、製造過程與環境安全的標準制訂,而在臺灣產業帶領之下,也希望能夠建立資安方面的標準,讓半導體產業供應商能夠遵循。

由SEMI臺灣技術委員會帶頭,催生晶圓廠設備資安標準

臺灣本身在半導體產業扮演了舉足輕重的角色,不僅身為設備買家,也有完整的產業生態鏈,因此,臺灣產業要在協會中制訂相關標準,其實也是相當有影響力。

關於半導體資安標準的制訂,卓傳育指出,是從去年10月開始準備,在今年1月正式由SEMI臺灣的技術委員會發起,成立晶圓廠及設備資訊安全任務小組(Fab & Equipment Information Security Task Force),目前這個任務小組的提案,也已經通過國際SEMI會員投票同意,進而取得案號並正式撰寫草案,預計第一版草案將在今年10月1日出爐。

其實,過去SEMI也有成員希望推動資安,但當時只是想做資安指引,而現在是要訂出標準,讓想要賣設備到半導體廠商的業者都要遵循。當然,這個推動過程會遇到很大的阻力,他說,任務小組一開始談的面向比較廣泛,但在實際進行過程中,以及國際產業間的討論,因此,最後限縮在晶圓廠與設備的範疇。

目前,這個任務小組的成員包含台積電、日月光、聯電、力晶等許多臺灣電子業者,工研院也身在其中,還有微軟、趨勢科技等業者共同參與,任務小組每個月開一次會,討論那些項目適合放到標準,他們也歡迎其他業者,一起致力於這個產業資安標準的推動。

在他們開始制定這個標準後,美、日、韓也有類似的活動,由於臺灣產業成員已經先在SEMI提出,因此有望能帶領推動相關資安標準的建立,以解決產線所面對的資安問題。

目前,他們這個任務小組的主要目標有3個,第一是要解決電腦作業系統EOS的問題,第二是晶圓廠設備難以更新修補的問題,第三則是要能夠做到持續性的監控與稽核。

同時,卓傳育也指出,從這次半導體資安標準制訂,所涵蓋的面向來看,主要可畫分為四大部分,首先是電腦作業系統安全,或許將來系統商能提供更長生命週期的版本,或是提供維護更新的工具;其次為網路安全,需要限制一些高風險的連接埠,像是TCP 445等;第三是端點安全,包括防毒與應用程式白名單等;最後,則是要能做到資安監控。

解決半導體業資安難題,包括系統生命週期與更新問題

關於半導體資安標準的制訂,卓傳育進一步解釋了半導體產業現在所面臨的挑戰。

以半導體產業而言,一直是以產能、良率為優先,重視機器穩定運行,不能使產線停止運作。更關鍵的是,卓傳育指出,半導體設備非常昂貴,動輒數十億元,可能要使用30年來攤提設備設備成本。

但是,若以作業系統的技術支援服務來看,例如過去Windows版本的產品大約是10年,因此,半導體設備明顯面臨系統終止支援(End of Support,EOS)的威脅。而且,這類設備可能在出貨時,原廠就是搭配舊的系統,甚至買來時,系統就已經是處於中止銷售的狀態,原廠還不允許更新,為的是避免對產能效率帶來影響。

因此,第一個要解決的問題,是在怎麼解決作業系統的EOS,卓傳育認為,這在一般智慧製造也都會發生,但問題不像半導體業那樣嚴重,因為他們需要花30年來攤提成本,導致設備使用效期相當長。

其次,是系統難以更新修補的狀況。在產能優先考量之下,系統如何能在很短時間內完成更新修補?以及檢視更新是否對效能帶來影響?卓傳育表示,由於產線設備老舊效能慢,更新速度並不像一般辦公環境IT那樣快,而更新後的設備效能理論上是沒問題,但很難驗證,若要複製第二套設備來進行驗證,成本又太昂貴。

第三,實體隔離落實不易。過往這類半導體設備的運行,理論上是要在真正實體隔離環境運作,只是在智慧製造的浪潮之下,實體隔離也已逐漸不存在。事實上,半導體產業的自動化比例非常高,人為介入的比例很少,而要做到自動化,不僅各個機臺之間要連動,還有機臺內部不同程式溝通也是如此,這也意謂著設備相互都連在一起,若是系統不修補,又是採用EOS的系統,將使得資安威脅風險極大。因此,網路的微分割也很重要,讓一區受害不會擴散。

除此之外,卓傳育也提到半導體在資安更是面臨新考驗。例如,OT世界的威脅大多是已知的弱點、從預設信任走向零信任的世界,以及工控協議缺乏加密。特別的是,他還指出一個目前資安方案尚未涵蓋的議題,那就是關於營業祕密製程配方的保護──在無法避免連網的情況下,駭客是否可能蒐集到完整的製程參數資訊。

因此,半導體產業的資安防護該如何進行?其實,美國ICS-CERT在2015年,已經提出7大防護策略能夠適用,其中白名單的重要性,是最被強調的部分。對此,卓傳育也說明了現階段的因應情況,例如,如果機臺有機會導入白名單,他們建議用戶就應該要執行,只不過這種作法還是有些限制,因為,可能面臨原廠或系統不支援,甚至設備原廠也沒有相關知識,來協助建立白名單的狀況--因為原廠只知道程式是他們寫的,但不知道用了那個開源模組,以及它們會跟那些程式有連動。

不過,所謂預防勝於治療,要解決這樣的問題,卓傳育認為,其實半導體產業要處理的是供應鏈安全的議題。例如,對於生產製造機臺的業者,要求在設備出廠時,就內建白名單,以及各種安全設定功能,這會比額外增加防護要容易;而且,過往先進製程的半導體設備,由於只有獨門廠商能夠生產設備,用戶很難要求對方配合。而為了凝聚產業之力,共同正視資安風險,訴諸標準就是必要手段。

在半導體產業所面臨的資安挑戰中,作業系統的終止支援(EOS)是首要面對的風險,比起一般製造業都要嚴重,因為設備昂貴,可能要花上30年來攤提設備成本。此外,還有面對系統難以更新修補的狀況,實體隔離漸漸不存在等風險,以及種種新的資安挑戰。


Advertisement

更多 iThome相關內容