歐美企業無不注重的供應鏈安全,台灣 TÜViT 顧問服務如何助台廠做好準備?

隨著雲端運算、AIoT 智慧物聯網、工業 4.0、金融科技與自駕車等熱門應用興起,也帶起各種 IT、工控、車輛與供應鏈安全問題。而打從 2010 年爆發 Stuxnet 超級蠕蟲攻擊伊朗核電廠以來,供應鏈安全問題更開始浮出檯面,並在隨後 2015 年的烏克蘭大停電事件,以及造成至少 200 家美國政府機構與企業資料外洩的 SolarWinds 攻擊事件中達到前所未有的高潮。這說明了,自 Stuxnet 攻擊事件爆發之後,供應鏈早已成為駭客發動有效攻擊的最佳目標。
  • 供應鏈安全問題起,業界主流資安標準認證潮來襲

供應鏈安全問題,不但凸顯出供應鏈上脆弱的環節(缺乏安全控制機制的小型合作夥伴),也促使各產業將安全控制與防護的焦點,開始從產品、場域等實體面的安全,擴大延伸到人員與作業流程面的安全,以全面消除任何可能被駭客利用的漏洞。為了加強不同產業的供應鏈安全性,各國政府也開始提出相應的合規要求,包括強調 IT 安全的 ISO 27001、訴諸工控安全的 IEC 62443、聚焦車輛網路安全的 ISO 21434,以及標榜個資隱私安全的 ISO 27701 與「歐盟一般資料保護規則」(GDPR)。

台灣漢德公司 IT 事業群協理林家弘表示,專門提供測試、評估及顧問服務的台灣 TÜViT,已將服務版圖從半導體、網通與製造業,進一步擴展到金融與工控供應鏈領域,其提供的資安標準合規服務,除了上述列舉的國際資安標準外,還包括德國聯邦資訊安全局(BSI)的基本 IT 防護標準、「資訊安全共準則」(Common Criteria, CC)、美國國家標準研究院(NIST)的 FIPS 140-3 標準、全球移動通信協會的 GSMA、網路身分識別 FIDO(Fast Identity Online)及 EMVCo 金融國際資安標準等。

為了協助產業成功取得各種國際資安標準認證,以便快速回應這些挑戰,自 2021 年下半年起,台灣 TÜV NORD 與台灣 TÜViT 開始進行精準分工的亞太市場布局規劃,由前者專門負責稽核/發證業務,後者則全力聚焦在顧問服務上,藉此進一步為客戶提供一條龍式的專業資安驗證服務,共創一加一大於二的實質效益。

  • 協助全球晶圓代工與封測巨頭取得場域認證

林家弘表示,針對場域安全,台灣 TÜViT 協助許多半導體業通過許多 CC(亦即 ISO/IEC 15408)標準認證。基本上,CC 力求確保整個產品開發生命周期與生產過程所有環節的安全無虞。但 CC 要求開發場域必須進行實地稽核,如此一來,就會有必須針對不同客戶的安全產品,分別取得 CC 實地稽核驗證的麻煩。

為了解決這個問題,BSI 特別制定了場域驗證(Site Certification)規範,這使得產品開發場域可以更方便又省時地單獨取得安全評估認證。台灣 TÜV Nord 自 2014 年開始在台推廣 CC 標準及 BSI 場域驗證服務,目前協助取得場域認證的廠商包括:台積電、聯電、日月光、矽品、京元電、聯芯、艾克爾、閎康、矽格等等,換言之,全球晶圓代工市占第一、第三,以及全球前兩大封測廠皆已取得該認證。再者,TÜViT 另外也有自行定義與發證的 Trusted Site Infrastructure (TSI)標準,以協助客戶進行實體安全及資料中心可用性之驗證。

隨著車輛網路安全標準 ISO/SAE 21434 正式於 2021 年 8 月底發布後,該標準也成為相關產業爭相取得的重要認證標的。日月光高雄廠在標準發布後三個月通過德國 TÜV NORD 認證,成為全球第一家取得 ISO/SAE 21434 標準的封測廠。

  • 展現無與倫比技術能量,三大資安標準檢測實驗室齊出擊

當前台廠除了尋求台灣 TÜViT CC 資安產品檢測實驗室的協助,以便在產品發布前獲得 CC 證書之外,更需要生產場域的安全認證,因為這已成為歐美買家必定要求的資安基本條件。台灣 TÜViT 與德國 TÜViT 已陸續協助亞太地區 12 家半導體客戶(超過 20 個廠區),取得德國 BSI 在 CC 場域安全認證之證書。不僅如此,台灣 TÜViT CC 資安產品檢測實驗室還是 NCC 通傳會轄下全國認證基金會(TAF)第一間認可的外商 CC 檢測實驗室。

確保產品安全的另一個重要標準是美國聯邦標準資訊處理標準(Federal Information Processing Standards, FIPS),目前美國政府要求密碼模組/密碼加速器開發商所售出的任何軟硬體產品,皆須支援 FIPS 140-3(目前最新版本)認可的演算法。而全球被 NIST 認可的 FIPS140-3 的密碼模組實驗室約有 21 間,台灣 TÜViT 即為台灣地區唯一的一間。

此外,隨著全球各地持續籠罩在新冠病毒與變種疫情的陰霾下,人們日常活動,舉凡辦公、學習、交易、購物及娛樂莫不移至線上進行。為了解決線上金融服務的身分驗證問題,降低人們對安全性不足密碼的依賴性,並提升線上認證安全與便利兼顧的體驗度,FIDO(Fast Identity Online)標準開始蔚為身分認證的新主流。透過 FIDO,使用者資料不再保存至網路伺服器端,而是硬體裝置,因此能大幅降低資料被竊的可能風險。針對這個標準,台灣 TÜViT 自去年第四季開始便著手 FIDO 檢測實驗室的申請作業,預計成立之際也將寫下全台第一間 FIDO 實驗室的新紀錄,屆時客戶就不再需要耗時費錢遠赴海外申請。

  • 成為亞太區廠商在地最佳資安認證夥伴

目前台灣 TÜViT 所提供的資安標準合規服務,在原有的 BSI、CC 及 NIST 標準基礎下,更進一步擴展了諸如 ISO/IEC、歐盟、網路與金融等更多國際資安標準,這讓亞太區半導體、工控、網通及製造業廠商只需透過單一窗口便能享受各種當前主流資安標準的國際級專業顧問諮詢服務,進而協助客戶的資安流程、生產場域及產品安全皆能符合產業需求與國際資安標準。

林家弘表示,台灣 TÜViT 會將上述專業資安服務能量進一步橫向擴展至金融、銀行、學校、醫療及車載資通訊領域,特別是自駕車及晶片安全,進而成為廠商的專業資安團隊與在地最佳夥伴。

文章來源:TechNews 科技新報