圖片來源: 

周峻佑攝

關於操作科技(OT)環境的資訊安全議題,自去年開始造成話題,而帶動整個產業的重視。例如,今年於南港展覽館舉行的國際半導體展(SEMICON)裡,對於我國所主導的半導體設備資安標準推動現況,由工作小組的成員進行座談,希望能有更多有志之士投身相關的工作。

國際半導體產業協會(SEMI)資深執行顧問張德安指出,自於1973年成立以來,目前已經發布了超過一千項標準。而這些標準的推出,來自於業界超過5,000名專家義務投入而成。由於去年我國出現生產線上的重大資安事件,促使政府與國內的相關業者,想要藉由制訂標準,來強化進場設備的資訊安全。自工研院與台積電於去年9月著手成立資安標準工作小組後,其中最為重要的里程碑,就是在今年4月時,取得新標準提案表單(Standards New Activity Report Form,SNARF)的正式案號6506,現在小組成員積極討論與撰寫草案,預計在年底能送交給全球的SEMI會員投票,進而領先美國和日本,成為全球業界推動資安標準的領頭羊。

在與會座談的工作小組成員中,包含了半導體業者、資安業者,以及工研院的代表。半導體業者,有台積電部經理張啟煌,以及力晶科技技術經理彭金郎;資安業者,則是精品科技資深顧問陳育徽;而政府代表則是,工業技術研究院副組長卓傳育,站在工作小組計畫主持人的身分,加入討論。

生產設備使用老舊作業系統情況仍相當普遍

參與標準的制訂,固然有助於提升我國於國際的能見度,然而促使政府與半導體業者聯手,推動資安標準,追根究柢還是起因於嚴峻的態勢中,攻擊事件已經嚴重打擊臺灣的半導體產業,使得他們必須正視長期以來,並未隨著外界趨勢變化而加強防護措施的生產環境。

張啟煌說,半導體的生產設備,二、三十年以來,訴求生產效率為最大前提,所存在已久的兩大資安問題,那就是多數設備執行的作業系統相當老舊,原廠已經終止支援,再者,則是防毒軟體和白名單等防護機制,與機臺設備之間的相容性,使得半導體業者部署這些產品之後,可能面臨嚴重影響廠房運作的現象。

生產設備採用舊版作業系統的情況到底有多嚴重?陳育徽說,單是此次活動展出的設備而言,他們發現有很多設備執行的環境,是今年終止支援的Windows XP,以及已於2010年就停止支援的Windows 2000作業系統。而這樣的情況,使得半導體業者難以強化這些設備的防護措施,尤其是被視為基本措施的防毒軟體,許多廠牌早就不再支援上述作業系統。

彭金郎也相當認同張啟煌的看法,他們兩人都指出,若是倚靠單一買家的採購,無法要求設備供應商改善前述的情況。彭金郎表示,他遇過供應商特別向他們表明,沒有辦法保證安裝防毒軟體之後,設備能夠如預期運作,結果彭金郎實際測試,機臺執行效能大幅降低,因為他們沒有辦法接受安裝防毒軟體後,導致生產時間大幅增加,最後只能妥協,讓這些設備在缺乏相關保護機制下繼續運作。

因此,透過建立相關的標準,來讓設備廠商能有遵循的規範,提供半導體廠房具備足夠安全的產品,從設備開發就將資安納入考量之中,成為整個產業想要迫切改善的問題。卓傳育說,工作小組試圖建立設備擁有的基本要求,像是作業系統和應用程式的長期支援,以及具備有關網路配置等,才能在企業導入之後,能依照標準相關的規範,真正落實資訊安全。

擬定設備標準的挑戰仍需逐一克服

張德安指出,這次我國能夠爭取到擬定半導體設備的資安標準,可說是相當難得。由於臺灣過往都是以代工為主,加上不是國際電工委員會(IEC)的會員,對於相關的標準都是採取遵循業主要求因應,沒有參與訂立這些標準的工作。然而,隨著半導體產線的資訊安全受到重視,我國爭取於國際半導體產業協會制訂有關標準,除了因應業者的需求,背後也伴隨著帶動國內資安產業的商機,為此,張德安說,他們在過程之中,美國和日本也相當積極想要加入討論,希望能影響這項標準制訂的方向。

另一方面,資安標準工作小組在取得正式的案號之後,即將於年底提出草案。張德安說,因為參與的成員都是志工,而且需要在上班時間開會,相當倚賴公司背後支持。而卓傳育則說,雖然比起許多國家,要召集成員討論可說是相當容易,但在標準文件的編寫上,也需要精通英文相關術語的專家協助整理,因此工研院會試圖找尋相關的資源,來加速這些工作的執行。


Advertisement

更多 iThome相關內容