英特尔、台积电等公司首席信息安全官呼吁：芯片产业需要更多信任

集微网消息，据semiengineering报道，美国西部半导体展览会举办的“确保半导体制造业的未来”论坛上，英特尔、台积电、ASML、应用材料和拉姆研究的首席信息安全官一致呼吁半导体行业携手合作，共享信息，制定网络安全协议。

首席信息安全官详细介绍了他们公司处理网络安全的方法，以及他们在确保供应链、运营技术和知识产权方面的心愿单。所有发言者都得出结论，他们的供应链（以ASML为例，有5000家零部件供应商）现在最有可能是晶圆厂遭受恶意攻击的源头。供应商安全状况现在是首席信息安全官关注的问题。

由于各种原因，一些供应商甚至不运行补丁程序。英特尔公司副总裁兼首席信息安全官布伦特•康兰（Brent Conran）表示：“记住，供应链强度取决于最薄弱环节，是的，我们拥有90%控制权，但有10%来自其他所有群体。如果10%不这么做，那么我的90%就毫无意义。”要解决供应商问题，台积电、英特尔和拉姆表示，他们都对自己的设备和供应商进行了库存管理。根据NIST的分层防御和国际半导体产业协会的E187和188标准，这些公司在网络安全方面对供应商进行了评级，并确定哪些供应商对安全问题最为重要。英特尔和台积电表示，一旦他们确定哪些供应商可能会造成最大破坏，并可能传递黑客攻击，他们就会与这些供应商合作，为他们提供持续培训，并向他们施压，要求他们改善网络安全。

台积电企业信息安全主管屠震表示，台积电告诉其供应商，他们需要共同努力，做出一些积极改变。台积电概述使用其政党安全评估的供应商，对其进行评分并创建供应商档案。一些首席信息安全官提出了第三方评估的可能性，他们认为这种方法能够更好地发现安全漏洞和缺陷。

论坛与会者还表示，重要的是要防止监管变得过于繁重。仅是“证明”安全性所需的文书工作就多种多样、不一致且繁琐。应用材料公司首席信息安全官Kannan Perumal说：“我们有时会收到有500个问题的调查问卷。”仅在方框里打了个勾，说你的产品是安全的，但这并不意味着就是安全的。这个行业需要另一种认证解决方案，而解决问题的唯一办法是将半导体行业专家聚集在一起，寻找更好的方法并将其标准化。

问题在于信任。英特尔的康兰说，我们必须相互信任，而不是请律师。拉姆研究副总裁兼首席信息安全官贾森•卡拉汉（Jason Callahan）表示，我们已经在知识产权方面相互信任。“我们是零信任部门。从根本上说，这是我们的核心，是我们行业近10年来最大的流行语：零信任。我们不想相信任何人。但我们都共享知识产权。所以很明显，我们之间有很多信任，但我们并不一样。”

卡拉汉鼓励芯片行业保持彼此的IP加密。如果你信任你的行业合作伙伴，那就信任他们的加密技术。卡拉汉说，加密技术可以成为控制知识产权并在需要时关闭访问的工具。

该论坛是发布信息的第一步，包括在门口完成邮件列表的注册，这预计会形成一个联盟。（台积电已经与台湾国际半导体产业协会组建了一个联合。）ASML首席信息安全官Aernout Reijmer在屏幕上展示了17世纪荷兰大师的画作《夜巡》，并解释说这是一幅市民聚集在一起保卫他们的城镇或组成一个救火队的画。就在那一刻，社区再也无法忍受这种情况，于是团结起来，让事情变得更好。他说，半导体行业现在需要做的是团结起来对抗共同的敌人。

“我们是亦敌亦友。我们竞争，但我们必须合作。在设备出现安全问题时，打电话给我。不要什么都不做。我也会为你做同样的事。”（校对/武守哲）