為提升其整體供應鏈資安防護強度,台積電不僅加強公司內部資安防護機制及管理制度,並主動訂定「供應商資安評鑑標準」,於2021年先要求供應廠商以問卷形式檢視12類潛在資安風險與弱點,執行自我資安評鑑;到2022年2月更進一步要求供應商作第三方資安評鑑。根據這兩類評鑑結果,台積電協助供應商擬定資安改善計畫並定期追蹤其執行成效。截至2022年11月底,在639家供應商中有418家獲得最優級,而277家於6個月內提升了1到2個資安等級。
由於台積電在短短幾年內於供應鏈安全達成如此令人印象深刻的結果,國際半導體產業協會(SEMI)遂參考台積電的「供應商資安評鑑標準」及臺灣半導體各大廠資安部門的專家經驗,訂定出「資安風險評估通用問卷」,再搭配第三方資安風險評分工具,而成為半導體廠商量身打造的資安風險評級服務(SEMI Semiconductor Cyber Security Risk Rating Service),並於今年12月5日宣布正式上線。
根據工業局統計,臺灣製造業者中只有約0.2%每年資安設備預算超過臺幣三百萬且擁有完整自主資安團隊,約5% 製造業者年資安設備預算超過臺幣三百萬但不具有完整資安團隊,其餘95% 製造業者則資安設備預算與人才配置皆偏低。其中,電子資訊業和金屬機電業公司2020年的平均年資安設備預算都低於臺幣一百萬,但相同統計數據在金融業與醫療業則分別達臺幣兩千兩百萬和八百萬。
據進一步了解,絕大部分製造業公司的領導階層對資安的重要性在觀念上都已相當認同,但在作實際資安建設投資決定時,則每每眼高手低、言勝於行。此中最根本的原因是資安建置案的投資回報 (return on investment, or ROI) 往往無法具體量化。亦即,每當資訊部門提出強化資安的方案,公司老闆總會問: 此次提案採購的資安設備究竟可增加多少資安防護力? 從公司治理的角度,這樣的提問完全合理,然而實務上,因為現有資安技術根本無法回答這樣的問題,提案部門乃至配合的資安產品供應商幾乎都無法提出讓老闆滿意的答案。最後,由於投資回報不明確,這樣的提案在公司施政排序自然後移,終致不了了之。
從上分析可知,欲增加企業資安建設的投資,必以強化資安建設與公司總體經營目標的聯結為先。舉例而言,民國 107 年公告的《資通安全管理法》將全國公私立機關分成A、B、C、D、E五個資通安全責任等級。因為公私立醫學中心、銀行和金融服務公司都屬A級關鍵基礎設施,資安防護要求最嚴格。因為符合資安法規定乃經營的重點目標,這些單位的資安建設投資在近年來皆大幅成長。
然而,製造業並不在《資通安全管理法》規範的範圍,所以沒有大力投入資安建設的誘因。所幸,2020年以來的中美貿易大戰所掀起的供應鏈安全議題,為臺灣製造業的資安化提供一道解套的曙光。為防範供應商因受駭而在其交付產品被埋入惡意程式,大型產業供應鏈的領頭羊如波音、通用汽車、台積電等,除了加強自身資安設施外,也開始要求其供應商遵循必要的資安規範並將此列入例行稽核項目之中,以確保每個生態圈成員都建置有適當的自我資安防衛能力。
雖然台積電在評量供應商資安防衛能力時,並沒有強迫供應商必須要達到特定的資安評鑑水準,但的確開誠佈公向廠商表達資安評鑑分數將成為選擇供應商時重要的考量因素。易言之,強化內部資安不再只為保護智慧財產或維持公司資訊系統的正常運作,而一躍成為加強整體產品競爭力策略的一環。對台積電供應商的老闆而言,為達到一定資安評鑑水準所需的資安建設,乃贏得台積電青睞必作之事,其投資回報不但明確,甚至頗具急迫性,所以落實的機率遂大為提高。
半導體製造業在自動化和智慧化的程度遠遠超過其他製造產業,而台積電乃半導體製造業中領袖群倫的翹楚。如今,台積電成功地示範了一套可有效提升其供應鏈成員實質資安韌性的評鑑與改善機制,而SEMI也見賢思齊將相關資安稽核項目及方案整理成標準作業程序。政府應將SEMI的資安風險評級服務介紹推廣至國內各大製造公協會,以作為加強其相關產業供應鏈安全的參考。經由類此供應鏈上下游資安聯防的驅動與鞭策,臺灣製造業者不但能藉此契機將自身資安防護能力脫胎換骨,更能進而一舉提升產品的整體競爭力。
*作者為清大資工系合聘教授,本文原刊《奔騰思潮》,授權轉載。
