半導體產業被譽為台灣的護國神山,資安則是維繫半導體產業正常運作的基石。為了將駭客攻擊、惡意軟體的風險降到最低,台灣半導體產業近年來對資安的投資十分積極,同時也透過SEMI國際半導體產業協會協調專家團隊制定出半導體產業的第一部國際半導體晶圓設備資安標準─SEMI E187。
SEMI E187標準的具體內容為何?對半導體產業鏈的運作會帶來哪些影響?該如何導入E187標準?針對這些關鍵問題,日前SEMI再次舉辦了SEMI Standards I&C Taiwan TC Meeting與半導體設備資安研討會議,並邀請到來自力積電、日月光與必維國際檢驗的專家進行深入講解。
SEMI E187標準與智慧製造展望
力積電技術經理彭金郎表示,SEMI E187標準涵蓋四個重點範疇,分別是作業系統、端點防護、網路安全以及安全監控跟資安稽核。乍看之下,SEMI E187標準是一部只談資安評估的標準,但這些原則能讓半導體廠在檢視自身資安現況,制定後續資安發展計畫時,有一個良好的出發點。如果針對個別議題需要更具體、更詳盡的標準,SEMI也有其他對應的標準,例如SEMI E188就是一部專門針對惡意軟體(Malware)威脅所制定的標準。
在半導體設備領域,智慧製造即時資料收集,已經是行之有年的事情。根據VLSI Research與Applied Materials所作的估計,在2006年時,半導體製程設備所收集的資料筆數,就已經接近一萬兆筆;到2018年時,這個數字更已直逼四萬兆筆。在龐大的數據集支持下,半導體製程與大數據技術結合,發展出更多智慧製造應用,已經是業內大家都在努力的方向。
但即便如此,目前半導體的智慧製造還是有瓶頸存在,例如叢集式工具(Cluster Tool)的排程最佳化,就是一個半導體智慧製造的經典問題。假設一部機台有四個作業艙,待加工的晶圓有四種不同的製程參數組合,要把生產排程最佳化,就得先窮舉各種可能的排列組合,才能找到最佳解。
雖然這種方法理論上可行,但在實際上線生產時幾乎不可能做到。因為真實的半導體產線狀況遠比這個例子要複雜得多,惟有透過AI才有機會找到生產排程的最佳解。但AI技術發展到某個階段,半導體廠真正要面對的,將是資料治理的問題:如何在確保資料安全的情況下,引入外部的資源來發展自己的AI應用。這時候,防火牆將不再是所有問題的解答。事實上,由於資料治理將是半導體產業無法迴避的問題,2023年SEMI會有一個專門探討設備邊緣資料治理(EEDG)的標準草案進入表決程序,如果順利通過的話,這將會是SEMI在資安相關領域標準制定的又一個重要里程碑。
智慧製造下的資安風險與挑戰
日月光高雄廠資訊技術處長陳裕忠則分享了日月光本身在資安的實務經驗,並特別提到了供應鏈共同提昇資安能量的重要性。陳裕忠指出,智慧製造為製造業者帶來許多好處,例如品質提升、效率改善、人力成本的節約等。但智慧製造同時也帶來新的挑戰,因為生產環節中導入智慧製造,而導致駭客攻擊的影響上升,只要任何一個節點被攻破,都有可能對生產、營運造成重大影響。
機台的資訊安全涉及到供應鏈的協作,因此,標準化是能否順利推動的關鍵所在。如果要讓OT安全的落實成本更低,透過標準化來提升供應鏈協作的效率,是非常關鍵的。這也是SEMI E187標準最大的價值所在。
為因應快速且多變的駭客攻擊,導入智慧製造的廠商必須善用標準/框架來建構多層次的防護機制,同時,機台的擁有者必須整合供應鏈資訊安全管理機制,透過像是SEMI E187這樣的產業標準來提升機台的資訊安全。企業本身必須不斷蒐集資安情資並引進外部技術來強化自身的資安體質,而且要定期演練驗證成效,才能把資安的風險降到最低。
以SEMI E187標準為起點跨足更多產業
必維國際檢驗集團(Bureau Veritas, BV)資訊安全部首席資安專家林上智則是從驗證機構的角度切入,針對標準的實作、SEMI E187標準與其他資安標準的銜接,以及開源軟體資安的議題進行分享。
在標準實作方面,SEMI E187標準對晶圓廠設備提出了12項要求,其中有2條是設備商最常提問的焦點,分別是作業系統的長期支援與已知弱點掃描。Windows作業系統的支援問題不大,因為微軟(Microsoft)會負責提供支援,但Linux的問題相對複雜,因為Linux是開源軟體,背後沒有廠商,如何確保Linux作業系統能獲得長期支援?
這個問題是有解的。除了一般的Linux之外,針對產品生命週期較長的應用需求,Linux還有長期穩定版本。這類Linux版本在發布之後,會有七年左右的維護期,且不像一般的Linux會頻繁改版增加新的功能。對許多應用來說,七年已經足夠了,但工業設備的生命週期往往不只七年,為滿足工業、關鍵基礎設施等應用對更長生命週期的需求,Linux基金會旗下的CIP會提供維護週期超過十年的Linux版本。
會後問答傳遞實戰心法 落實資安沒有一步登天
資安標準該如何導入、如何作內部溝通等實戰層級?日月光公司陳裕忠處長就指出,一間公司的資安要做得好,高階主管一定要支持。決策形成後,進行內部横向溝通,說明公司為何需要導入,再由各部門主管向下佈達溝通,從而凝聚成全公司的共識。
必維國際檢驗集團林上智專家也呼應,並指出在其輔導廠商導入資安標準時,表現好的廠商多半有以下幾個共同點:
- 導入資安要與公司的業務發展有直接連結,不能為了導入而導入
- 主管要願意給人、給錢、給時間
- 主管要跳下來親自督軍指揮,而不是在後面喊口號
- 先求有再求好,不要想著一步到位。若能作到這四點,不只導入資安標準的過程會比較順遂,導入後的成效也會更好。
展望未來,SEMI將持續與半導體產業上、中、下游產業鏈共同打造安全無虞的供應鏈生態圈,建立台灣半導體產業領先全球的關鍵競爭力。
關於SEMI E187半導體設備資安標準
SEMI E187設備資安標準導入指南策略產業如何從設備入廠、配置、生產與維護期間的防護,提供企業落實SEMI E187半導體設備資安標準規範的實務方法,點此了解更多標準資訊,歡迎您上SEMI Stanadrds官網
SEMI E187 - Specification for Cybersecurity of Fab Equipment (點此了解更多)
SEMI E188 - Specification for Malware Free Equipment Integration (點此了解更多)