5年前一場資安風暴,讓台積電付出高達52億元昂貴代價。
2018年8月,台積總裁魏哲家慎重打上藍領帶、身著黑西裝親上火線,率領一排高階主管對外證實,機台感染病毒,導致三大廠區停擺三天,影響當季營收2%,「人類不可能永遠不犯錯,」魏哲家當時無奈地說。
那是台灣史上最大資安事故。藏身在新機台裡的勒索病毒WannaCry,造成台積竹科、中科及南科等全台生產線大當機、震撼全球,也讓台積新接班人承受「螺絲鬆了」罵名。
虛擬世界的戰爭:不用炸彈就足以摧毀一個企業,甚至連動至產業、人民。例如2021年美國一家醫療管理企業曾遭供應鏈勒索軟體攻擊,影響超過100萬人,成為美國當年最大規模的健康數據外洩事件之一。
當台積牽動台灣科技、經濟、稅收、產值等多個關鍵,反而讓公司深刻體認:資安防護不是你築的防火牆多高、多綿密,而是員工、設備及所有供應商是否與你站在同一陣線、以同一標準完善資安架構。
這就是供應鏈資安。
台灣供應鏈遭攻擊 高於全球平均
趨勢台灣區暨香港區總經理洪偉淦提出數字,指出高達72%台灣企業供應鏈曾遭遇勒索病毒襲擊,使系統陷入入侵風險,數字高於全球52%許多。
供應鏈資安管理成為顯學。
對內,台積資訊人員透過,公司每天面對上千次網路攻擊,甚至發現駭客潛伏超過一年未有行動,資訊人員還得每日緊盯其目的。內部還成立紅色軍團模擬入侵,藉此尋覓網路漏洞。
檢核供應商資安 台積設防線
對外,台積針對供應商建立一套資安檢核規範;產線也設立第二道自動檢測系統。
已經退休的前台積資訊長左大川曾以南京廠為例,強調新竹總公司與南京廠有兩條直通資料線路,所有資料100%加密;台積技術部門甚至在往來資料中灌入假資料,降低洩密機率。
台積將9成晶片製造資料儲存在中國當地伺服器,雖有10%最敏感晶片技術資料儲存在台灣,但只開放給南京廠內有需要知道的主管知曉,要用才從台灣傳過去,資料只能叫出1次,無法再度存取。
從伺服器到人員管控。畫面來到台灣,如火如荼的3奈米開發案,台積將相關材料分析案外包給專業材料分析公司,借助這些公司加快找出問題,但在送件或取樣來回過程中,公司對負責接頭的研發人員進行衛星定位監控,一旦從台積電取完件後脫離設定的路線或逾時,公司就會啟動預警系統。
參與台積重要計畫的供應鏈成員透露,完成台積交付任務、回傳所有資料後,所有文件全數自動被台積收回,不會留下任何蛛絲馬跡。
資安靠團戰 建立半導體業標準
供應鏈資安是從上游到下游、一條龍完善的里程。
台積已與國際半導體產業協會合作成立「半導體資安委員會」,擬定四大方針做為工作重點,包括:制定與推動半導體晶圓設備資安標準(SEMI E187)、宣導及推廣資訊安全、制定供應鏈資安評鑑問卷與機制、評估供應鏈共通弱點及風險。
台積永續報告書顯示,截至2022年11月已完成了639家供應商資安評鑑,改善逾7000個關鍵資安弱點。漢唐集成公司資訊室副理王明宏就說,台積的資安風險管理機制,大幅強化公司的資安意識,並強化必要的防護措施。
這一切才剛開始。
台積如今被迫前往美國亞利桑納設廠,在台灣則力拚量產最先進製程。它對內要防止營業秘密外洩、競爭優勢遭掣肘;對外要防範地緣政治角力下的國家級實體或網攻。讓台灣被外媒喻為世界上最危險的地方。
2020年至2022年間,半導體業經歷大量勒索軟體、韌體與網路癱瘓攻擊。調查卻顯示全球僅33%資安長,有信心在供應鏈遭威脅與攻陷時,具備滴水不漏的防禦及復原能力。
快速的數位轉型、供應鏈全球化程度提升,安永全球戰略諮詢部門美洲供應鏈負責人Sameer Anand認為,這讓供應鏈網絡的利害關係人數量持續增加,觸發更多資安漏洞。
供應鏈中任何一環缺乏培訓、認知或監督,未遵守資安協定,都能導致整個系統資安防線癱瘓。
這也將是台灣龍頭企業和每位員工,還需以身作則的長遠目標。
也是護國神山的考驗。