【文.劉煥彥】
台積電(2330)於2018年8月驚傳部分產線機台及電腦系統中毒,打亂晶圓生產作業,震撼全球半導體業,並於該年第三季認列25.96億元台幣的相關損失。
三年後的今天,由台積電大力推動、國際半導體產業協會(SEMI)第一個由台灣主導的國際產業標準,也是SEMI首個半導體晶圓設備資安標準(SEMI E187 - Specification for Cybersecurity of Fab Equipment),不僅於今(28)日揭幕的2021國際半導體展(SEMICON)正式發表,由SEMI發起的半導體供應鏈資安聯盟也同時啟動。
這不但代表台灣在全球半導體供應鏈中的又一個全新地位,也意味台積電儼然成為全球半導體設備的資安標準重要推手。
未來全球各家半導體設備商想要做台積電的生意,就不可能忽視SEMI E187標準,該標準將成為半導體設備產業的最基本資安門檻。
究竟台積電怎麼從護國神山,變身為半導體業的資安長城?故事要從三年多前說起。
台積電機台中毒 意外催生SEMI首個半導體晶圓設備資安標準
2018年8月,台積電發生機台中毒事件,震撼全球半導體產業鏈。
2018年11月,台積在該年第三季財報內的綜合損益表部分,加了這段附註:
「本公司於(民國)107年8月3日受到電腦病毒感染,影響台灣廠區部分電腦系統及廠房機台,致相關晶圓生產亦受波及,所有受影響機台均已於107年8月6日恢復正常,本公司107年第3季認列電腦病毒感染相關損失2,596,046 仟元。」
機台中毒事件對台積電的影響,並未在財報認列損失後就結束,反而使台積開始了全新的鞏固資安作為。
台積電在SEMI推動成立工作小組,制定半導體生產設備的全球資安標準。劉煥彥攝影
台積多管齊下 建立資安長城
根據台積電在近兩年台灣資安大會展場揭露內容、企業社會責任報告書、自家官網及SEMI官網內容,台積為了打造資安長城,過去三年來至少做了以下四件事:
第一,2019年成立供應商資訊安全協會,藉由供應鏈資安風險評鑑及資安實務合作及分享,持續強化供應鏈資安防衛,要求供應商達到台積電規定的標準。
第二,明訂資安風險評估及管理流程,建立自動化資安管理系統,並取得ISO 27001資訊安全認證。
在實務上,台積已建置自動化掃毒及防毒系統,防止有惡意軟體的機台進入公司;強化網路防火牆與網路控管,預防電腦病毒跨機台及跨廠區擴散;並依電腦類型建置端點防毒措施。
第三,加強與學界及業界合作,共同培育資安人才。
例如,台積攜手華碩(2357)及鴻海(2317),研發高規格資安智慧手機;與中華資安、安碁資訊(6690)及台灣微軟開發資安解決方案,並且擴大招募資安人才。
第四,台積於2018年10月,也就是發生機台中毒事件後僅兩個月,就在國際半導體產業協會(SEMI)推動成立跨產業工作小組,研究制定半導體設備的全球資訊安全標準。
半導體龍頭消息公告:https://pr.tsmc.com/chinese/news/1969