台積電:資安也是國安議題 供應鏈應具韌性
科技產業資訊室 (iKnow) - May 發表於 2021年10月20日
圖、資安也是國安議題 供應鏈應具韌性
SEMICON線上資安趨勢高峰論壇於今日(10月20日)召開,台積電企業資訊安全處長屠震演講,提到資安也是國安議題,如同拜登政府的5G安全政策所提到潔淨網路的重要。
隨著,5G及物聯網時代來臨,驅動半導體智慧聯網製造,資訊安全不僅是企業的資安也提升到國家安全,尤其近年駭客頻繁攻擊高科技產業製造工廠,甚至危及上下游供應鏈。
SEMI組織於今年6月成立台灣首屆資安委員會,目標是建立有韌性的供應鏈。屠震是SEMI台灣資安委員會首屆主席,該委員會應對資安的機會與挑戰,四個主要目標:提升供應商與產業供應鏈的整體安全、警示威脅與風險、構建供應鏈資安評估、確認產業資安藍圖。
屠震透露台積電的資安標準規範,包含員工居家上班相關遠距工作安全準則、台積電在供應商資安評估也列出135項,在今年7月由資材管理向1500多家所有供應商,發布重要資安危害示警通知PrintNightmare漏洞的潛在駭客攻擊,並對應資安危害通知要求立即採取行動防堵改善等,並將相關管理流程經驗向SEMI成員分享。
屠震認為,首先在更新架構/方案確保安全,基於美國國家標準技術研究院(NIST)資安架構,從晶圓廠設備聯網帶來的潛在風險、軟體檢測等都已納入SEMI台灣資安委員會的資安標準,建立「供應鏈網路安全評估問卷」給適用規範供應商提升資安的長期風險管控,並協助企業檢視資安成熟度。
其次,資安委員會在產業與推廣方面,在資安標準的推廣、資安框架與解決方案、定期提供產業相關資安訊息。例如藉由陸續召開多項成員活動及舉辦全球資安峰會,並將定期發布電子季報Newsletter,另12月的SEMICON Taiwan 2021論壇進一步推廣資安訊息。
如何協助供應鏈應對資安的曝險,屠震指出,相關方法包含辨識第三方服務的風險等級,如資安分級卡/BitSight等。其實,台積電本身一年須面對上兆次的不同來源網路連接訪問,如何辨識來源是子公司、轉投資公司或供應商等,並評量風險與改進也是台積電及供應商都要面對的共同議題。(726字;圖1)
參考資料:
SEMICON Taiwan 資安趨勢高峰論壇
台積電屠震:資安是國安議題 7月示警供應商駭客攻擊。聯合新聞網,2021/10/20。
相關文章:
1. 行政院2022年編列5164萬資安預算 成立兩大國家級資安實驗室
2. 白宮召開資安高峰會 各產業領袖承諾投入強化資安
3. 各國家對資通安全立法與管理概述
4. Check Point:三重勒索、攻擊供應鏈及遠端網路攻擊持續增加
5. 趨勢科技:全球80%企業在未來一年內可能發生客戶資料外洩事件
6. 受到勒索軟體攻擊之企業復原成本約185萬美元
--------------------------------------------------------------------------------------------------------------------------------------------
【聲明】
1.科技產業資訊室刊載此文不代表同意其說法或描述,僅為提供更多訊息,也不構成任何投資建議。
2.著作權所有,非經本網站書面授權同意不得將本文以任何形式修改、複製、儲存、傳播或轉載,本中心保留一切法律追訴權利。
|