伴隨著物聯網應用日益多元化,成為驅動未來經濟發展的重要動能,只是先天設計上的問題,也讓駭客能透過裝置的安全漏洞竊取資料,乃至於中斷關鍵基礎設施的正常運作。因此,在資安等於國安的思維下,全球進入後疫情時代後,國際網通大廠與3C大廠日益重視晶片資安與供應鏈安全,以便能符合各國政府推出的新版資安法規要求。
因應國際資安產業發展迅速,長期重視科技研發與創新的經濟部技術處,為了補足此技術缺口,以科技專案投入資安技術研發,在國際供應鏈源頭以資安結合晶片設計的創新應用方向進行佈局,委託資策會資安所參考國際BSIMM資安成熟度所發展之企業安全軟體成熟度模型,作為建立台灣IC設計業者參考遵循的安全需求基準,讓晶片設計產業在面對國際客戶對資安要求時,能有產業規範可供依循且超前部署的方向。為讓更多用戶了解資安議題,特別協同電電公會於2021年3月19日舉辦「提升IC產業安全成熟度資安研討會」,針對晶片安全軟體開發、安全軟體成熟度模型與晶片資安國際標準進行深度分享與交流,吸引眾多資安長、研發主管、幕僚主管與會。
電電公會資訊安全暨生態系統委員會主委詹東義說,受到COVID-19疫情影響,帶動遠距工作、遠距學習的風潮,也讓資安威脅事件暴增六倍以上,最常見攻擊手法DDoS、Maiware、SQL-injection、Zero Day等。鑑於物聯網設備遭到入侵事件頻傳,嚴重危害到消費者個資、國家安全等,可預期歐盟、美國、英國等,勢必會針對此類設備訂出新版資安法規。電電公會成立資訊安全暨生態系統委員會的目標,將聚焦國家資安標準、資安認證,同時推動產官學合作、推動生態系等方式,助會員接軌國際、因應法規挑戰。
推安全軟體成熟度計畫
資安所聯手電電公會
隨著駭客攻擊模式持續推陳出新,全球各地不斷爆發各種資安事件,也讓供應鏈安全議題備受重視。
如2019年布拉格會議共識與原則、2019歐盟ENSIA「5G網路安全建議書」規範、2020年美國國防部CMMC成熟度模型認證計畫,而2021年美國拜登總統正式簽署美國確保資通訊技術與服務供應鏈安全行政命令。綜觀前述種種規範或行政命令,都是要求各方業者針對安全品質超前部署,台灣需儘速進行符合國際規範所需之因應之道,才能避免陷入被視市場淘汰的命運。
為此,經濟部技術處推動的安全軟體成熟度計畫,主要是透過安全成熟度自評/輔導、安全成熟度評測、資安技術服務等三大面著手,透過與公協會法人合作,協助晶片業者因應國際法規挑戰,以便可在全球供應鏈重組時代中取得有利地位。
資策會資安所主任王玉洋指出,在經濟部技術處指導下,資策會資安所與電電公會、工研院攜手合作,進行國內晶片業者安全成熟度提升計畫的推動,同時結合本計畫研發之檢測工具、SSDLC管理平台等,預計協助台灣晶片業者實踐產業升級、法令遵循、接軌國際等三大目標,符合國際供應鏈安全要求。目前已經有多家國內業者完成自評,我們希望有更多業者加入此行列。
掌握軟體專案安全 首選BSIMM 模型
被全球產業廣泛採用的BSIMM,是一種以資料驅動的模型,可透過對軟體安全專案進行嚴格解析,企業對安全軟體計畫進行評估,達到掌握軟體安全計畫的現狀,從而制定改造策略,最終提升其軟體安全成熟度。而新思科技推出的BSIMM,自2008年起已對211家公司進行500次評估,最新推出的 BSIMM11,包含來自130家公司的資料。由於此版模型適時反映組織因應資安趨勢而調整的軟體安全策略,可保護企業與公司安全,所以不會發生扼殺創新或妨礙開發速度的問題。
「新思科技致力提供技術領先的半導體設計、驗證平台和IC製造軟體產品,協助半導體及電子相關產業的業者,進行複雜的積體電路設計、系統晶片等產品的開發與生產。」新思科技資深業務工程師李思賢解釋:「BSIMM 11將企業因應DevOps等趨勢的新策略融入其中,如縮短釋出週期、增加自動化使用和軟體定義的基礎架構,所以目前正廣泛被企業採用。」
技術支援與顧問服務 滿足企業多元需求
即便過去幾年全球企業持續強化資安防護,但仍然無法有效遏制資安事件發生,關鍵在於駭客手法日新月異,以至於無法有效防範。因此,企業在持續強化資安策略之虞,也應該分階段達成國際規範要求,同時通過國際規範要求。在此之外,導入安全軟體開發計畫也是必要的工作,只是推動過程中,勢必會面臨需額外投入成本、設計流程日趨複雜,以及問題淵源追蹤不易等挑戰。
資策會資安所組長李彥震指出,現今資安已與國家安全、企業發展等息息相關,特別是AIoT已為駭客入侵重要管道,唯有從軟體開發階段開始著手,才能將資安風險降到最低。企業導入軟體安全開發流程的成功與否,取決於合宜的推動策略及高階主管的關注與支持,而資策會資安所則能提供最全方面的協助。
「我們可提供完整的教育訓練,如軟體安全意識培訓、開發人員技術訓練、以及開發人員安全軟體開發培訓和應用,甚至能與開發者深度討論,找出企業痛點與想要達成的目標。」資策會資安所經理鍾松剛解釋:「如此一來,晶片業者自然能因應國際法規挑戰,在競爭激烈產業中保有領先優勢。」
華苓科技搶進資安 助半導體接軌法規
看準國際市場對源自於晶片安全問題日益重視,在台灣市場頗受好評的華苓科技,也於2021年起宣告加入資安服務的經營藍圖,除與國家級資安技術中樞-資策會資安所為策略夥伴,目前在5G資安、AI輔助資安、工控資安、半導體供應鏈資安等領域合作,並推出高科技製造的資安服務,涵蓋工控資安、安全軟體開發平台、半導體供應鏈資安管理,及資安監控快篩平台等。
華苓科技產品經理林文元說,我們與資安所合作投入安全軟體開發SSDLC 系統平台的開發,可協助台灣半導體業導入SSDLC符合BSIMM、IEC 62443等國際資安規範的要求,建立符合BSIMM管控機制的安全軟體開發平台,運用於需求管理、安全測試、知識管理、問題追蹤,提昇台灣廠商的國際競爭力。
在物聯網資安事件頻傳下,強化軟體開發安全已成既定趨勢,各國政府更已制定新版資安法規。台灣晶片產業在全球市場向來扮演舉足輕重角色,亦無法免於此潮流中,因此唯有積極引進安全軟體成熟度模型,才能為企業奠定長久的營運基石。