台灣晶片產業供應全球所需，在美中貿易科技戰下，愈來愈多台灣高科技產業成為中國駭客攻擊的對象。數位發展部今天(18日)指出，單打獨鬥的資安防護已無法有效因應日新月異的攻擊手法，數發部將透過分享重要情資、通報資安漏洞等機制，以公私協力方式協助民間企業對於資安事件的應變，確保及時發現問題、解決問題。

根據路透社報導，網路安全公司Proofpoint的研究人員16日表示，與中國有關的駭客正在針對台灣半導體產業與投資分析師進行攻擊，這些與中國密切相關的駭客團體持續性攻擊活動也正在增加。

國家資通安全研究院副院長龔化中18日受訪時分析，以台積電為例，出狀況的都不是台積電，而是他的供應鏈。他指出，因為台積電做了很多保護措施，中國駭客知道他們直接進攻台積電相當困難，但是攻擊供應商就相對簡單，而攻擊供應商又分為攻擊供應鏈本身及攻擊產品2個方向。

在產品方面，台積電已建立全球通用的晶圓設備資安標準SEMI E187，要求供應鏈強化資安防護水準。數發部數位產業署未來將更進一步建立SEMI E187認驗證制度，鞏固台灣在全球半導體產業的關鍵地位。

供應鏈成破口？數發部建聯防機制

至於供應鏈防護，數發部資安署借助國家資通安全研究院長期在公務體系資安防護技術與經驗，委託資安院維運「台灣電腦網路危機處理暨協調中心」(TWCERT/CC)。龔化中說，此平台提供情資分享機制、資安漏洞通報、惡意檔案檢測等服務，以確保及時發現問題、解決問題。目前國內電子大廠都已加入會員，資安院也鼓勵民間公司或機構踴躍加入。

龔化中說：『(原音)資安院有很多國外的情資，而且我們也可以看到整個網路上的訊息，所以我們也會把我們發現到他的供應商的風險會通知他，例如暗網就是駭客他們使用的網路，我們會監控到上面的資訊，有沒有一些帳密洩漏、或者這些主要產業，我們講關鍵產業，他的一些資訊問題，我們都會通知他們。這一年多來，我們已經互相分享資訊蠻多次的，很多時候不是台積電本身，問題是他的供應鏈。』

企業遭駭應強制通報？

對於半導體供應鏈若遭駭客攻擊，是否應該通報政府單位？龔化中說，台灣目前考量企業隱私跟自主性，所以沒有強制，但歐盟等其他國家已經開始出現類似要求，未來台灣應該朝這個方向走。

台灣資訊安全協會秘書長、台灣資安大聯盟發言人洪伯岳受訪時也指出，目前法規只要求上市櫃公司若受到一定程度影響，必須發布重訊，但對於非上市櫃企業就沒有要求。

他以實務經驗分享，許多企業被駭客攻擊後，若能順利解決，當然不想曝光，否則恐影響聲譽。他認為未來若要強制通報，需要與產業多溝通。他說：『(原音)通常我們內部會通報的原因是因為除非今天有個重大的，例如說我們資安裡面會分CVE(常見漏洞與暴露清單)，就是它會從分數幾分到幾分，以零日攻擊來說，它今天公告一個Windows的漏洞，這個是10分，大家就要去趕快更新這個動作，TWCERT/CC他們就在做這個事情，如果小事情大家都要通報，那每天大家都通報不完了。』

數發部指出，在新興技術蓬勃發展下，網路攻擊態樣與頻率與日俱增，包含社交工程攻擊、勒索病毒、DDoS等，使得資安防護壓力倍增，單打獨鬥的資安防護已無法有效因應日新月異的攻擊手法。數發部會持續掌握相關情資，並偕同各領域主管機關防護資源，以公私協力方式協助民間企業建立資安事件應變作業。(編輯：沈鎮江)