台積電上周末安裝的新機台因內含電腦「想哭」(WannaCry)病毒,一上線立刻在全台北中南各廠區擴散,台積電必須暫停產線掃毒,歷經兩日檢查才完全排除問題。台積電成立以來安裝過上萬部機台,這是首度因病毒感染造成產線停擺;這次病毒突襲造成台積電五十二億元的營業損失,股價連跌兩日,學費高昂。
這次台積電受病毒襲擊造成生產中斷,廣受全球關注。台積電是蘋果手機晶片的最大生產商,下半年又是蘋果推出新機的出貨旺季,各界均關注台積電是否會因此次病毒事件影響供貨。在國內,台積電是台股市值第一大企業,擁有包括政府國發基金在內的近五十萬名股東,不但台股大盤表現受台積電中毒事件左右,也牽動眾多股民的心。
檢視此次病毒風波,台積電在事前的預防與事後的補救上,都有值得檢討之處。在事前預防上,過去台積電在新機台上線前,必須先進行掃毒,確認沒問題才連上網路,這應該是企業資安的標準作業程序。然而,這次安裝新機台並未掃毒即逕自連線,台積電已承認是內部未遵守作業規範。
台積電這次感染的,是去年即已現蹤的勒索病毒「想哭」之變種;雖是新種病毒,卻非無法防備,去年作業系統廠商也已推出相關補強程式。台積電或許認為公司生產機台並未對外連線,只是內部連網,因此輕忽了作業系統更新的重要,這當然是輕忽。若能早一步堵住作業系統的漏洞,此次病毒發作的範圍就不會如此之大,至少可以控制在特定廠區或機台。
在事後的補救,台積電的反應也慢了半拍。病毒感染發生在上周五晚間,周六上午消息已在業界傳得沸沸揚揚,但台積電遲至周六下午才發出簡單書面聲明,澄清並非駭客攻擊。由於說明過於簡略,市場依然揣測紛紛,台積電遂在周日第二度發出書面聲明;但兩次聲明對產線恢復的預估時間並不一致,損失金額也不相同。周一台積電股價下挫,跌幅雖不深,但反映出投資人的不安。台積電當天下午終於由台積電總裁魏哲家親自出馬釋疑,但似仍未說出全部事實。
在數位時代,駭客與病毒攻擊已成為企業經營的主要威脅,而網路的發展更加速了數位犯罪的速度。過去十幾年,包括杜邦、迪士尼、索尼、奇異等跨國企業都曾遭駭客或病毒的攻擊,衍生的損失或善後費用高達數百億美元。美國聯邦調查局等各國司法單位,已多次警告政府或企業單位必須注意數位犯罪,並主動介入調查各種駭客與病毒散布的犯罪行為。
以台積電之規模和重要性,除了務必落實內部資安的管理,防毒的作業流程絕不能稍有疏怠。尤其,各廠區與不同產線間的防火牆必須建立,以避免單一病毒快速癱瘓生產線。不僅台積電,各企業對於重大經營事件的說明和應變,都必須加快並提高透明度,以降低市場的猜疑,以便投資人判斷。
對於企業資訊安全的維護,政府也不應毫無作為。台積電此次遇到病毒攻擊,公司雖否認遭駭客入侵,但新機台竟內含病毒且在沒有掃毒的情況下上線,造成股價波動與台積電五十二億元的營業損失。台積電基於營業秘密考量,並未對機台供應商等細節多做說明,但司法單位有必要釐清案情,確認其中有無不法,才能讓這起病毒攻擊變成社會有用的教案。
台積電年營收近台幣一兆元,因病毒造成五十二億元營業損失,稱不上慘重,台積電也表示年底前有信心透過增產補回這些損失。但從商譽的角度看,台積電在管理上出現如此不可思議的漏洞,卻難以用金錢衡量。更重要的是,國內其他企業和政府部門都應引以為戒,並做到防微杜漸,才不會讓台積電這次五十二億元的中毒學費白繳。