一條龍防駭 台積打造供應鏈資安

台灣近年來發生的資安事件，以華航、台積電最令人印象深刻，分別象徵了從民營企業到地緣政治最關鍵供應鏈資安的疏漏與啟發。

五年前，一場資安風暴讓台積電付出高達五十二億元昂貴代價。華航會員個資則是自今年初開始外洩，累計超過五千筆，被駭客嘲笑「華航的重訊變成連續劇」。

二○一八年八月，台積電總裁魏哲家親上火線，率領高階主管對外證實，機台感染病毒，三大廠區停擺三天，影響當季營收百分之二。

那是台灣史上最大資安事故。勒索病毒WannaCry藏身新機台，造成台積竹科、中科及南科生產線大當機。

台積電深刻體認，資安防護不是防火牆多高、多綿密，而是員工、設備及所有供應商是否與公司站在同一陣線、以同一標準完善資安架構。這就是供應鏈資安。

供應鏈資安是從上游到下游、一條龍完善的里程，供應鏈資安管理已成顯學。

對內，台積資訊人員透露，公司每天面對上千次網路攻擊，甚至發現駭客潛伏超過一年未有行動，資訊人員每日緊盯其目的。內部還成立紅色軍團模擬入侵，藉此尋覓網路漏洞。對外，台積針對供應商建立一套資安檢核規範；產線也設立第二道自動檢測系統。

台積永續報告書顯示，截至二○二二年十一月已完成六三九家供應商資安評鑑，改善七千個關鍵資安弱點。

相較台積電制定一條龍的資安規則，華航則是電商平台有五千多筆會員資料遭擷取。華航重申，會委同第三方的資安聯防廠商全面性檢視系統安全，也同步要求委外廠商提升資安管理措施。

但不只華航，資安檢測品牌Cymetrics近日發布台灣航空旅遊業資安報告，發現台灣十五家知名航空旅遊業者中，十四家出現帳密外洩漏洞，企業內部未宣導正確的帳號密碼使用行為（如不應將公司帳號使用於社交網站）宣導，致員工資安意識不足、帳密外洩。

華航發言人魯淑慧說，華航已提升資安預算、投注資源，還參照資通安全責任最高等級的Ａ級範疇精進安全系統，成立跨部門的「資安暨個資管理委員會」及「資料保護長」。

公司並採取三大措施，包括：一，委同第三方的資安聯防廠商全面性檢視系統安全，也同步要求委外廠商提升資安管理措施。二，積極精進資通安全系統，每月執行整體系統弱點掃描偵測風險。三，不定期進行全員釣魚電郵演練，提升員工資安知識與意識。

朝陽科技大學飛航系主任盧衍良感嘆，加強內部教育及員工意識，將資安視作己任，是各行各業一大課題。