然而,製造業並不在《資通安全管理法》規範的範圍,所以沒有大力投入資安建設的誘因。所幸,2020年以來的中美貿易大戰所掀起的供應鏈安全議題,為臺灣製造業的資安化提供一道解套的曙光。為防範供應商因受駭而在其交付產品被埋入惡意程式,大型產業供應鏈的領頭羊如波音、通用汽車、台積電等,除了加強自身資安設施外,也開始要求其供應商遵循必要的資安規範並將此列入例行稽核項目之中,以確保每個生態圈成員都建置有適當的自我資安防衛能力。
雖然台積電在評量供應商資安防衛能力時,並沒有強迫供應商必須要達到特定的資安評鑑水準,但的確開誠佈公向廠商表達資安評鑑分數將成為選擇供應商時重要的考量因素。易言之,強化內部資安不再只為保護智慧財產或維持公司資訊系統的正常運作,而一躍成為加強整體產品競爭力策略的一環。對台積電供應商的老闆而言,為達到一定資安評鑑水準所需的資安建設,乃贏得台積電青睞必作之事,其投資回報不但明確,甚至頗具急迫性,所以落實的機率遂大為提高。
半導體製造業在自動化和智慧化的程度遠遠超過其他製造產業,而台積電乃半導體製造業中領袖群倫的翹楚。如今,台積電成功地示範了一套可有效提升其供應鏈成員實質資安韌性的評鑑與改善機制,而SEMI也見賢思齊將相關資安稽核項目及方案整理成標準作業程序。政府應將SEMI的資安風險評級服務介紹推廣至國內各大製造公協會,以作為加強其相關產業供應鏈安全的參考。經由類此供應鏈上下游資安聯防的驅動與鞭策,臺灣製造業者不但能藉此契機將自身資安防護能力脫胎換骨,更能進而一舉提升產品的整體競爭力。
*作者為清大資工系合聘教授,本文原刊《奔騰思潮》,授權轉載。
