专家传真－化危机为商机：高科技供应链在5G资安威胁的主动防御术

全球5G服务陆续上路，这不仅是通讯技术的改朝换代，更带动AI、物联网、边缘运算等创新应用的蓬勃发展。台湾高科技供应链受惠于5G商机，但也面临多重挑战，资安正是不可忽视的一环。

据统计，全球5G网路设备市场将由2019年的11亿美元成长为2025年的182亿美元，年复合成长率高达59.3％，由此可见5G对台湾产业的重要性，除了IC设计及代工制造，5G的跨领域伙伴联盟形塑了新商业模式，与5G整合商的合作也是台湾产业的着力方向。

受骇范围由IT横跨OT的严峻挑战

早在2019年初与半导体及相关电子业者交流时，我们最常被问到的问题就是5G晶片设计应该注意哪些事项，以及是否必须因应5G而改变以往在资安的作法。

业者的担忧其来有自，晶片本身的安全漏洞愈来愈常见，晶片原始码被外泄的状况也在增加。再加上5G技术的一大变革就是网路功能的软体化，虽然可以加快部署新服务，但也导致5G解决方案及应用环境更为复杂，资安漏洞也随之倍增。

当大家的忧心都聚焦在IT面时，IBM研究发现OT的资安风险更是以倍数成长，例如：油气水电是生产线运作的基本要件，但被骇比例达40％。至于机台设备和工控系统，更是制造业最常被骇的目标。

以某家与医疗、航太、汽车产业相关的高科技供应商为例，就是由IBM协助以逆向工程找出资安问题，除了常见的密码及加密金钥课题，还查出工厂机台隐含可被骇客复制及改写设定的漏洞，最后透过与IBM共同开发修补程式来解决。

打造从设计到生产的资安思维

从骇客的观点来思考，是主动防御及应对的第一步。IBM X-Force资安团队在2020年开始针对5G网路、设备及零组件模组进行威胁渗透检查及资安漏洞测试，同时持续收集及更新5G及物联网的威胁情资，并在官网首页提供简易的检测扫描服务。

由于有愈来愈多变种及改造的恶意软体可骗过入侵侦测系统和防火墙，顺利进入企业，所以对于生产线机台的资安检测，也不该只集中在主要设备，而是生产线上的每一个工作站都要全面纳管。值得注意的是，由于投资高昂，半导体产线的二手设备市场一向很热络，这也成为不可不防的资安破口。

由于机台本身各有不同属性及来自不同供应商的异质性，导致很难有单一及安全的机制可以全面涵盖。IBM一方面参与半导体产业协会，推动设备商共同因应资安挑战；另一方面提供最佳实务及专业服务，协助高科技制造业主动检测及防御。

为了抢攻市场先机，产品本身可能隐含或引发的资安问题常被视而不见，但最终仍会成为无法回避的挑战。在5G机会与挑战并存的当下，台湾高科技制造业及供应链若能提升资安认知，甚至是取得资安防御认证或建立品牌保证，就能建立独特且领先的竞争优势。