以國際半導體資安標準 SEMI E187 解決產業資安痛點

歷經長達三年的努力，集合我國優秀的IT、資安與風險專家等，藉由SEMI（國際半導體產業協會）標準平台共同制定的半導體晶圓設備資安標準（SEMI E187）將於1月正式發布，藉此標準為國際半導體產業與資安標準做出基礎性的貢獻。到底這個國際標準解決什麼資安痛點？答案是大家習以為常的老舊軟體系統（Legacy System）。為了協助非資安技術讀者了解這個產線資安的難題，以下就個人小故事解釋這個隱性的盲點。

　Legacy問題無所不在

　三年前某天工作日，我的眼睛看電腦螢幕顯得吃力模糊。經醫生診斷，原來已經要配戴老花眼鏡。第一次選購老花眼鏡時，到底要選擇一般的老花眼鏡，還是可看近看遠的多焦眼鏡？多焦眼鏡優點是省去攜帶兩副眼鏡的麻煩，缺點是價格較不親民。

　為何常見配戴不合適眼鏡的長輩眉頭深鎖？由於眼睛肌力將隨著年紀逐漸下降，老花眼度數將逐年增加。在成本或省事的考量下，他們就把不足度數的老花眼鏡將就著用。從眼鏡外觀來看，很難判斷老花眼鏡度數。不足度數的老花眼鏡就像是設備的老舊軟體系統。從主管角度來看，明明設備還在堪用年限，功能一切正常。儘管軟體系統老舊，也無造成異狀。就算有資安問題，為何要花錢更換可用的設備？

　在成本掛帥的管理文化，主管的質疑是直觀的。他看不見生產設備的異狀，更無法發現老舊系統的資安問題。一旦主管都這麼說了，設備使用者就不會堅持，公司IT或資安更不會在採購上有所要求。更何況這類的設備牽涉到國際設備原廠，設備使用者嫌麻煩也不會去深究，就推說設備沒有問題。因此，設備原廠自己未主動揭露資安漏洞，就會導致設備資安屬於未知的未知（Unknown Unknown）盲點。

　解開供應鏈盲點

　自1998年起，半導體跨界資安專家群策群力投入完成E187標準（6506草案），成為全球半導體設備商共同依循的資安規範。E187標準為產線設備定義全面而基礎性的資安要求，從產品設計階段即考慮資安，並在設備的營運與維修時也要建立資安保護之基準（Baseline）。

　E187標準涵蓋作業系統支援、網路安全、端點防護、安全監控等四個面向，以提供設備基本的資安規範，有助於設備商在新設備出廠前因應潛在的資安風險。另外，E187標準還可協助設備採購利害關係人提出具體的資安要求，作為設備採購與設備商雙方在合約修訂、協商或談判之參考依據：

　1、停止交貨已結束服務（EOL）作業系統之設備，並須提供該設備的資安措施。2、設備的應用程式須支援具安全性網路傳輸協定。3、設備在交貨前提供弱點、病毒掃描報告。4、設備內含資安事件紀錄（Log）與該紀錄之可轉檔方式。

　面對接二連三的供應鏈資安事件，拜登政府在2021年發布行政命令EO 14028，就是責成美國國家標準技術研究院（NIST）制定軟體供應鏈資安的新標準。別小看老舊軟體系統難題，並非單一企業可以獨自解決，牽涉到設備商、作業系統業者、應用程式開發商等跨國軟體供應鏈體系。未來可思考E187標準在其他產業應用之可行性，以建立我國產業在全球供應鏈可信賴夥伴關係。