台積電電腦系統遭電腦病毒感染給我們的資安治理啟示

2018-08-09 22:26經濟日報中華公司治理協會資深研究員閻書孝

用LINE傳送

依台積電於8月6日的重大訊息所示，其廠區部分電腦系統及廠房機台，在8月3日遭WannaCry電腦病毒感染，導致第三季毛利率下降約1％。根據媒體的報導，此事件將影響營收約為新台幣76億至79億元。台積電表示後續除持續加強並嚴格落實標準作業程序（SOP）外，亦將持續了解病毒趨勢，在工廠立即做相對應的防毒措施，並進一步加強資訊安全防護。

台積電為國內標竿企業，向以嚴謹的管理流程及公司治理受國際評比機構肯定。此次發生了標準作業程序，遵循相關的資安問題，引發社會震驚，則其他規模較小的企業，是否更容易不知不覺中遭受病毒感染或攻擊？是否所有公司應以此事件為借鏡，重新檢視整體企業及董事會的資安風險管理架構與落實，而不要過度自滿於現有的資安制度與程序？

近幾年歐美國家已經將資安視為公司重大風險。美國公司董事協會（NACD）在2017年發佈了一份《董事監督網絡風險手冊》(NACD Director’s Handbook on Cyber-Risk Oversight)，提出現行企業存在一些迷思：公司自以以為小而不知名，就不會受到攻擊。事實上所有公司都會受到攻擊，因為攻擊者可能會從不知名的企業為入口，藉由合作生產關係，逐步前進大企業。

所以NACD的建議是：
1.將資安視為企業整體風險，而非僅資訊部門而已。
2.董事會應該瞭解公司特殊環境下資安風險的法律意涵。
3.董事會應於議程內定期探討資安風險管理，並投入足夠時間。
4.董事應該要求管理階層建立整體企業的資安管理架構，並具備適當人力與預算。
5.董事會與管理階層應討論，哪些資安風險應避免並擬定特殊計畫。

中華公司治理協會在2017年，也以「董事會網絡治理機制之探討」為題發表了年度調查結果，為國內少數從公司治理、董事會角度探討資安議題的報告。

調查對公司與董事會層級的主要發現有：
1.半數公司（50.21％）未以任何形式探討資安相關議題
2.七成公司（70.75％）未以任何形式向董事會報告
3.近七成公司（69.09％）未以任何形式檢視資安風險議題
4.近三成公司的董事會（29.45％）無任何成員檢視資安風險議題

但報告發現大多數公司在經理階層以下，幾乎都有進行年度性或定期性的檢核與報告，因為這是「常規性的稽核項目」。所以公司的確有經理階層以下例行性、被要求的資安檢視，但很少有企業會擬定整體公司的資安風險架構，董事會也未將之視為重大風險、定期檢視與討論。這並非台灣特有現象，其實香港先前也發現，公司往往僅由基層、只具技術背景的資安人員負責，很難向董事會溝通相關風險對營運的衝擊。

因此，公司需要的是能瞭解資安風險與問題的專家，並適切地向董事會報告，而董事會也需要有意識地監督這個問題。

另外調查還有一點值得注意。不到三成公司（26.78％）表示會將資安與網路相關背景列為提名董事條件，另外有近三成公司（29.61％）表示無進修需求，原因可能是公司自身屬性不需要進修相關議題。但從企業生態系統角度看，現在所有公司都使用資訊設備、網路通訊溝通，自我設限其實就是風險來源。

尤其調查中也有63.42％的公司表示資安進修其實不充足，也有公司希望能多開課程與說明會，啟迪董事意識與知識，而且重要的是，現在的董事大多擅長於法律、財會或所屬產業，對資安風險並不熟悉，因此董事會對相關議題大多屬於背書性質，未必能做出正確判斷，這是十分值得注意的。

資安問題與網路攻擊，所造成的衝擊不只是營收面的數字而已，更是可能是名譽喪失的風險。現在很多客戶、往來供應商個資與營業機密，都可能因網路攻擊而外洩，一旦發生資安問題，後果不堪設想，企業長久辛苦建立的商譽會一夕之間瓦解，受到長久質疑。因此董事會在組成及運作，包括後續評估及進修時，應視之為重要議題才行。

台股早盤跌破今年低點失守9,700關卡 09:27

中油11月起受理「退一送一」申請地點看這裡 08:45