2022年1月,SEMI(國際半導體產業協會)正式發佈半導體晶片設備資安標準(SEMI E187)。在全球SEMI會員努力下,歷經三年、三輪投票中上百個問題答辯終於定案。到底,SEMI E187欲解決何種資安痛點?
老舊系統(Legacy Software)為半導體業者共同的痛點。即使硬體沒有問題,但因為軟體年限到期,無法支援最新修補程式,就會出現軟體業界常見的產品生命週期結束(End of Life,簡稱 EoL)或服務支援終止(End of Service,簡稱EoS)。偏偏,在以往軟體產品買斷的銷售模式,隨機安裝的軟體到了EoL仍然可以正常操作,主管認為設備功能上沒有問題,不需要換新。
問題是,半導體設備硬體的生命週期長達三十年之久,設備機台的資安折舊(Cybersecurity Depreciation)問題不容忽視。通常,半導體廠機台至少安裝二十個以上版本作業系統,平均每年有一至二個作業系統面臨到EoL問題。自2001年上市,Windows XP於2014年終止修補程式(Patch)更新的服務,但仍然搭配半導體新機台出貨。其他的作業系統EoL更短,平均四至六年之間便停止更新服務。因此,半導體設備硬體尚未折舊,甚至有很高的殘值,就事先面臨作業系統的折舊問題。
設備資安問題不是單一企業可以解決的問題,需要跨部門跨企業行動。除了作業系統,還有在半導體設備供應鏈的應用程式業者。SEMI E187涵蓋機台的端點防護、作業系統、網路安全,以及資安紀錄檔與監控,這些都是過去半導體機台的系統與應用程式長期忽略的資安議題。為了促使新機台強化資安,SEMI E187 從半導體資安採購規範著手,期盼帶動設備商在新機台研發時就納入資安議題(Security by Design)。
針對仍在使用年限的機台,內含的老舊系統該如何處理?這些缺乏資安防護力的設備,僅允許機台與機台連線的白名單(Whitelist)或許是個權宜之計。簡單來說,白名單就像是通行證,只允許機台連線事先核可的網路,駭客無法因此直接連線到外部網路。倘若將白名單安裝在這些機台,軟體更新可能會把這些設定回到原廠設定值,而清除白名單設定值。如果為這些機台安裝防火牆,就可以在防火牆設定白名單,以達設備存取控制之效。等到採用SEMI E187新機台逐年上線,有助於已達折舊年限的防火牆逐步淘汰。
SEMI E187推動不會只有採購部門的責任。企業內部導入過程就像是這個標準制定的縮影。三年三個草案版本,全球會員回饋意見達上百條問題。企業導入需要整合不同部門的意見,從設備管理者、IT或資安、採購、產線資安等。設備管理者認為設備資安不是他的職掌或績效指標KPI,但IT 或資安認為生產設備資安不是由他們負責,採購希望IT或資安提出設備資安規格。這個關鍵性資安議題容易成為公司內部三不管地帶。從設備資安採購角度,E187為半導體設備供應鏈管理訂下全球性合規的基礎。
無毒證明為第一步。國際半導體設備業者,目前正在討論如何導入。某些業者一開始就參與標準的討論,在三年間將會議問題帶回企業內部討論。由於設備資安在設備業者也是跨部門問題,他們不同部門的出席代表有助於在會議中搜集客戶意見。自2018年以後,他們客戶已經逐步要求設備出廠要提供無(病)毒證明。就算是E187簡化為設備無毒證明,至少設備業者與他們的客戶達成共識的第一步。
針對大型製造業或金融服務業,管理資安風險須同時進行財務面與技術面評估,以因應無法預期或難以估計的營運衝擊。隱藏性資安折舊議題提醒企業財務長此問題的嚴重性,並進一步與資安長建立對話的橋樑。老舊的軟體系統是整體供應鏈的議題,環環相扣且短時間難以解決克服,超過單一企業可承受風險(Risk Acceptance)的範圍。由於老舊系統也影響工廠的關鍵性設備,企業很難完全規避(Risk Avoidance)其系統性的風險。面對老舊系統複雜而難解的問題,除了承受及規避風險以外,企業紛紛採取其他風險管理措施,主要透過保險進行風險移轉(Risk Transfer)及風險抵減(Risk Mitigation),早已成為許多跨國企業(含以台灣為基地)現行實施的實務做法。資安險除了包含完善的承保範圍,並提供緊急應變、搶救與復原專家資源,成為資安事件發生時,企業執行資安風險抵減的最佳後盾。
本文同步刊載於彭博商業周刊中文版,英文版刊登於SEMI Standards Watch。欲進一步了解資安保險及資安風險管理應對策略,歡迎聯繫我們。若您希望進一步了解資安應變力與數位韌性,歡迎與我們聯繫。
