ביטים ייצור: 1 בפברואר

אבטחת סייבר של ציוד מעולה
בצעד גדול כדי לסייע במתן אבטחה בשרשרת האספקה ​​לייצור מוליכים למחצה, SEMI פרסמה את המסמך הראשון מפרטי אבטחת סייבר ותקנים עבור ציוד מפואר.

במשך זמן מה, תעשיית המוליכים למחצה מתפתחת תקני אבטחת סייבר חדשים לציוד מפואר במאמץ להגן על מערכות מפני התקפות סייבר פוטנציאליות, וירוסים וגניבת IP. התעשייה עבדה על שני מפרט ציוד של אבטחת סייבר. התעשייה עבדה בחסות SEMI.

התקן הראשון, הנקרא SEMI E187, הוא מפרט שנועד לסייע בהגנה על נתוני ייצור מוליכים למחצה. SEMI E187 מספק את ההנחיות הבסיסיות לפיתוח הגנות אבטחת סייבר בציוד מוליכים למחצה. המפרט, שיצא מ-SEMI Taiwan Cybersecurity Committee ו-Fab and Equipment Information Security Task Force, מכסה ארבעה תחומים מרכזיים - מערכות תפעול מחשבים, רשתות, הגנת נקודות קצה וניטור.

SEMI, בינתיים, אישרה גם את 6566, מפרט לשילוב ציוד נטול תוכנות זדוניות, על פי קבוצת הסחר. תקן זה מגדיר פרוטוקולים לסריקות של ציוד לפני משלוח. זה גם מתייחס לתמיכה בהעברת קבצים, תיקוני תחזוקה והחלפת רכיבים.

יצרניות שבבים יכולות להשתמש הן במפרטים והן בדרישות אבטחת הסייבר בחוזי רכש ציוד. התקן עובד כבר זמן מה. אינטל ו-TSMC הובילו את המשימה כאן.

מיותר לציין שחיוני שיהיו אמצעי אבטחה בארגוני IT, כמו גם בתעשייה. במציאות, יצרניות השבבים עשויות להחזיק במגוון רחב של ציוד לייצור IC, שמחוברים כולם ברשת. אבל מכיוון שחלק גדול מהציוד אינו חדש לגמרי, אחוז גדול מהכלים עשוי לשלב מחשבים עם מערכות הפעלה מיושנות ויציאות ישנות יותר.

עבור יצרניות השבבים, זו סיבה מרכזית לדאגה. ציוד מפואר עם מערכות הפעלה ישנות יותר של מחשבים ויציאות רשת עלולים להיות פגיעים להתקפות, על פי SEMI. פוטנציאל, תוכנות זדוניות או תוכנות זדוניות עלולות להשתמש בניצולי אבטחה כדי לתקוף ציוד, ולגרום למערכות לקרוס.

זה גם יכול לשמש כדי לתקוף את ה-IP בעל הערך העצום והתחרותי של מפעלי יציקה ובתי אריזה, כמו גם את הלקוחות שלהם. כמעט כל יצרניות השבבים משתמשות בשירותי יציקה ואריזה של צד שלישי, וחלק גדול מזה כולל נתונים קנייניים ביותר. בנוסף, תהליכי היציקה עצמם הם בעלי ערך רב.

בינתיים, יצרניות השבבים ממשיכות להגביר את מאמצי אבטחת הסייבר הפנימיים שלהן. לדוגמה, TSMC ממשיכה לשפר את שלה אסטרטגיית ניהול אבטחת שרשרת האספקה. "זה כולל עיצוב הערכת אבטחת מידע והערכה של תקני ספקים תוך התייחסות לתקנים בינלאומיים המכסים 12 קטגוריות ו-135 פריטי בדיקה וסיוע לספקים להעריך ביעילות יעדי בגרות ושיפור אבטחת המידע", לפי TSMC.

"ארגונים גלובליים מתמודדים עם אתגרים חמורים באבטחת מידע. TSMC מחויבת לפתור את בעיית ההגנה על אבטחת מידע בתעשיית המוליכים למחצה, והרחיבה את הקידום שלה לשרשרת האספקה, תוך עבודה עם שותפים בתעשייה ליישום קיימות ארגונית", אמר JK Lin, סגן נשיא בכיר לטכנולוגיית מידע וניהול חומרים וניהול חומרים. ניהול סיכונים ב-TSMC.

מניעת התקפות סייבר
CyCraft, ספקית זיהוי ותגובה מנוהלת, יש הודיעו על תוכניות לשיתוף פעולה עם ברית אבטחת הסייבר של שרשרת האספקה ​​למחצה בטייוואן.

The Semiconductor Supply Chain Security Alliance הוקמה לאחרונה על ידי יחידת SEMI בטייוואן. הקבוצה עבדה עם חברות ומפעלים טייוואנים כדי לגבש תקני אבטחת סייבר מוליכים למחצה יעילים.

כפי שדווח, שרשרת האספקה ​​של מוליכים-על טייוואנית ראתה א מספר הולך וגדל של התקפות סייבר.

בבלוג, CyCraft זיהתה ארבע "נקודות כאב" לאבטחת סייבר בשרשרת האספקה ​​של המוליכים למחצה וכיצד לפתור אותם.

"האתגרים הללו קיימים בגלל אילוצים בתעשייה - לא רק מגבלות טכנולוגיות", אמר צ'אד דאפי, מנהל המוצר העולמי של CyCraft. "אחת מבעיות האבטחה הגדולות ביותר בייצור היא שילוב פתרונות מודרניים מונעי בינה מלאכותית, כמו שלנו, בחומרה ותוכנה מדור קודם. זה מציב אתגרים ייחודיים. גיוון חומרה וזמינות גבוהה הם חלק מהדאגות העיקריות של ICS. PLCs אינן מציעות את אותן סביבות מחשוב כמו מערכות הפעלה מלאות, מה שמוביל לגישות שונות לאבטחה ממה שאנו רואים בסביבות IT משרדיות; שדרוג כל תיקון למערכת ההפעלה עלול לעלות לחברות מיליוני דולרים בזמן השבתה - וזו לא אופציה בהתחשב בסביבה התחרותית של התעשייה. זה מוביל לכך שפתרונות מדור קודם, אפילו אלה שחלפו מתאריך סוף החיים שלהם, עדיין בשימוש; האקרים, שממשיכים למצוא באגים ולפתח טכניקות חדשות, יכולים לשגשג בשטח הזה, ולכן חשוב ביותר שנעבוד עם ארגונים כמו SEMI כדי למצוא את דרך הביניים הטובה ביותר כדי להשיג טוב יותר את יעדי האבטחה עבור התעשייה."

חינוך סייבר
מכון חוסן תשתיות קריטי (CIRI) הוא פיתוח תוכנית לימודים לאבטחת סייבר לאוניברסיטאות שונות בארה"ב כדי לעזור לפתור פער כישרונות הולך וגדל בזירה.

כאמור, התקפות סייבר, גניבת קניין רוחני (IP) וגניבת זהות הופכות נפוצות מדי. אבל יש מעט מדי מומחי אבטחת סייבר כדי למלא את המשרות הזמינות בשוק. יש יותר מחצי מיליון משרות זמינות בארה"ב לבדה, לפי ה-CIRI.

זה המקום שבו CIRI משתלב. CIRI, שעורכת מחקר ומספקת חינוך באבטחת סייבר, ממומנת על ידי מענק של 20 מיליון דולר לחמש שנים מהמשרד לביטחון המולדת האמריקאי. הוא מובל על ידי אוניברסיטת אילינוי באורבנה-שמפיין (UIUC) עם משתפי פעולה מאוניברסיטאות אחרות בארה"ב ומעבדות לאומיות.

עם תמיכה ממענק נוסף של 2 מיליון דולר מהסוכנות לאבטחת סייבר ותשתיות (CISA), CIRI מפתחת תוכנית לימודים לאבטחת סייבר שתהיה נגישה למכללות שאין להן כרגע תוכניות או המעוניינות להרחיב תוכניות קיימות. CISA, סוכנות ממשלתית אמריקאית, מובילה את המאמץ הלאומי להבין, לנהל ולהפחית סיכונים בזירת הסייבר והתשתיות הפיזיות.

בעזרת אוניברסיטת אובורן, אוניברסיטת פרדו ואוניברסיטת טולסה, CIRI יצרה רשת לאומית של מכונים, שסייעו ביצירת תוכנית לימודים לאבטחת סייבר ומסלולים תעסוקתיים.

"אנו נוקטים בגישה חדשנית לתוכן תכנית הלימודים, ומקשרת בין ידע טכני להבנות וגישות חברתיות וארגוניות. בתכנון של מערכות מאובטחות ותהליכים ארגוניים, אנו רוצים להתמקד בעיצובים הצופים שיבושים אפשריים לפני שניהול משברים יהיה הכרחי. המסגרת לשילוב למידה טכנית וארגונית שאנו מכנים - מערכות סייבר חברתיות", אמר וויליאם קופ, פרופסור ב-UIUC.

רנדל סנדון, מנכ"ל CIRI, הוסיף: "במשך זמן רב מדי קהילת אבטחת הסייבר התמקדה במוצרים ובטכנולוגיות של אבטחת סייבר ולא מספיק באלמנט האנושי. תוכנית לאומית זו תתחיל לתקן את חוסר האיזון עם ההתמקדות שלה בפיתוח הידע, הכישורים והכישורים הדרושים כדי להתמודד עם האתגרים ההולכים וגדלים בעולם תלוי סייבר יותר ויותר".

מקור: https://semiengineering.com/manufacturing-bits-feb-1/