【臺灣資安大會直擊】面對供應鏈資安風險，半導體龍頭台積電設立供應商資訊安全協會

供應鏈安全的議題近年備受關注，該如何積極因應？而在國內半導體領域當中，向來是資安模範生台灣積體電路製造（以下簡稱台積電），對於這樣的風險也已經開始重視，在2020臺灣資安大會的供應鏈安全論壇中，該公司部經理張啟煌在一場專題演講分享供應鏈資訊安全實務，並提到了他們近一年來在資安上的新作為。

在這場演講中，有兩大焦點值得關注，首先是因應公司對公司的供應鏈安全議題，現在，台積電與相關業者已經成立了一個供應商資訊安全協會，另一個供應鏈議題的層面，是面對半導體設備的資安難題，台積電在國際半導體產業設備與材料協會SEMI已成立相關小組，正訂定機臺資安的標準，促使設備供應商應從設備開發就要將資安納入考量。

而這些作為其實突顯出，台積電對於資安的要求，已經不只專注於自身，甚至要帶領供應鏈與產業前進，為各界做出相當成功的示範。

事實上，關於供應商資訊安全協會的成立，是在2019年7月成立，只是外界並不知情，直到今年5月底，台積電在其企業社會責任（CSR）網站正式對外公布此事，後續我們也曾詢問該協會的成效，與改善供應商實例，不過當時未獲回應。難得的是，在這次演講上，張啟煌剛好提到這個協會的發展概況。

不只是要幫助供應鏈強化資安，甚至長期也將能影響各自的供應鏈

為何企業在供應鏈上下游、合作夥伴必須強化資安的面向，張啟煌在講解簡報時，他用了一個很生動的比喻：「如果我家圍牆築得很高，可是我的鄰居都遭小偷了，那我住起來會安心嗎？」他表示，透過這個供應商資訊安全協會的平臺，他們會定期開會，與供應商溝通一些資安規範，更重要的是，他們還有一套資安風險評鑑的分析。

現在，台積電已建立強化供應鏈資安系統（TSMC Supplier Chain Security Association，TSMC-SCSA），以確保公司的持續營運與競爭力，而初期納入導入目標的是重點供應商與合作夥伴。在具體作法上，有兩種形式，包括透過第三方服務做到快速風險評估，同時，台積電本身也有自己的評鑑方式。

張啟煌說明，在談供應鏈的資安時，最重要的部分，還是要知道有什麼弱點。例如，運用第三方的企業資安風險評等服務，就是一種方式，可以快速對供應商做資安評鑑，他覺得這點很重要，否則，不知道弱點在哪，又該如何改善？

而且，台積電本身也有自己的一套評鑑方式。這是因為第三方服務通常是情資蒐集，從外部的資訊分析狀況，分析弱點及改善重點，這種方法雖快，但如果要知道資安的政策、組織與人力，甚至實體安全程度等，因此，他們還會用自己的方式來評估，並建立資安評核標準，來與供應商溝通，而對於合作緊密的供應商，也會有更高的要求。

同時，台積電也會定期發布供應商資訊安全電子報，當中包含資訊分享與遵守規範，例如，近期的新政策，合作的解決方案，或是資安警覺性的資訊，以及供應商違規的狀況，藉此與供應商一起合作加強資安。張啟煌指出，有了大家相互的成長，之後，供應商甚至也可以影響到他們的供應商，達到聯防的概念。

長期而言，這意謂著，將可藉此影響各自的供應鏈，進而提升臺灣半導體產業的資安環境與水準。

從產業標準發力，在SEMI成立資安標準工作小組，讓半導體設備供應商需在其產品考量資安

在半導體製造領域會有哪些資安難題？張啟煌在演講時曾提到，例如，半導體設備的生命週期超過30年，因此這些設備將面臨系統終止支援（End of Support，EoS）的威脅，還有設備幾乎不停機在運作，系統難以更新修補的狀況，以及面臨缺乏產業標準、更多系統整合、遠端等議題的風險。

由於近年資安攻擊事件已對臺灣的半導體產業帶來威脅，在這次議程上，張啟煌指出，台積電已經帶領半導體供應鏈制定機臺資安標準。

這項標準的制定，還在進行階段。他們去年初在SEMI就成立相關小組，後續相關草案也已經訂出。現場，張啟煌也說明了目前的最新進度，該草案已經送交給全球的SEMI會員投票。

顯然，這是希望藉由建立相關標準，讓全球半導體設備廠商在資安上能有遵循的規範，而特別的是，這樣的標準是由臺灣產業來帶頭及參與標準制定。

最後值得一提的是，要做到精進資安防衛，產業交流合作也很重要，而我們看到近年台積電也已有了較積極的作法。例如，近年他們參與多場臺灣營業祕密保護的研討會，今年也參與2020臺灣資安大會，還有多項在產業界與學術界的合作，這些都是協助臺灣產業強化資安能量的具體行動。