世界級半導體企業台積電8月3日爆出電腦病毒感染事件,台積電總裁魏哲家於證交所公開說明,表示此次電腦感染病毒,沒有內鬼,也沒有駭客攻擊,純粹是內部操作疏失,將含有病毒的新機台未掃毒就連網,未來很快會推出防呆裝置,這種錯誤不會再發生。根據估算,這次中毒事件對第3季營收影響大約2%,影響金額約新台幣52億元,這也是台灣單一企業因資安事件造成損失的最高紀錄。此次事件所以受到全球矚目,除了台積電在半導體產業的龍頭地位,牽連的上中下游廠商及供應鏈相當廣泛,是否對於全球資通訊相關產品市場會因為延遲出貨而產生重大衝擊,各方都相當關心。此外,令人憂心的是,台積電在資訊安全上的投資與控管絕對是業界的標竿,其都會發生這樣的事件,其他防護相對脆弱的公司或產業恐怕也很難倖免。
由於目前網路連結的普遍性,各種產品、裝置及機器設備逐漸串連上網,金流、物流及資訊流關係緊密,類似台積電因一部機台設備中毒,而影響其他機台與系統而讓公司生產停擺的事件,絕對有可能再度發生,這類的資安事件,小則影響企業的營運,大則衝擊到整個產業上中下游,甚至牽連到整個社會的穩定與安全,必須謹慎。
以金融體系為例,一旦遭遇資安攻擊當機停擺,輕則無法進行信用查訊、跨行交易、證券買賣及結算,衝擊企業營運及民眾權益,重則影響國家經濟及社會秩序;又如醫療衛生體系,其為維護民眾健康的第一道防線,若被破壞或無法立即恢復運作,勢將影響人民生命安全。
未來物聯網(IOT)的蓬勃發展,不管是城市、學校、工廠與家庭,抑或各類的移動裝置,如手機、汽車及無人機等,預計全球將有數百億個裝置聯網,只要其中有一個端點被病毒感染或侵入,整個系統都將受波及。以智慧家庭為例,不管是冷氣、冰箱、電燈,甚至浴室裡的智慧牙刷被病毒感染,恐怕整個家庭所有的設備與網絡,甚至社區及城市都將大受影響。今年7月在日本上映破票房紀錄的電影柯南,即以「IOT恐怖攻擊」為電影主軸,嫌犯透過病毒讓包括電視、微波爐、烤麵包機等裝置損毀或爆炸,造成民眾極大的恐慌,雖說是電影,但劇情卻一點也不虛誇,極有可能發生。
此次台積電中毒事件雖說造成該公司不小影響,但也提供我們一個深刻反省的機會,若能藉由此次教訓提高政府、產業及民眾對資訊安全的認知與警覺,學費才不致白繳。以下提供幾點建議:
首先,隨著新興行動科技的發展,民眾及企業員工採用終端裝置的多元化已成為不可逆的趨勢,政府與企業未來更將面對無所不在的多元穿戴裝置,潛藏的資訊安全威脅勢必更加嚴峻,因此在資安的防護上,也就更需要政府、企業與社會的全面共識和全員參與。惟有從使用習慣與企業文化中,逐步養成使用者的風險意識與資安防護能力,才能夠將可能的損害降至最低。
其次,政府目前正積極進行各種公共雲的建設,企業也在如火如荼的建置各種雲應用,希望提供企業內或給民眾更方便的使用,如何有效提供安全防護機制以確保相關系統與資料的安全性,也是重要課題。建議政府組成資訊安全輔導團,協助政府相關單位與產業提升防護等級。
最後,如何建立應變作業流程,讓災害時間縮短,快速回復營運,降低損失,也是當急之務。例如金融與醫療系統均倚靠電信與電力維持資訊機房、資訊設備的運作,更仰賴網路系統的傳遞資訊;一旦系統失效,將嚴重影響金融與醫療體系的運作,應將之視為國安議題般重視與防範。