udn 陽光行動 資安補破網
台積電。(本報資料照片)

台積電。(本報資料照片)

一條龍防駭 台積打造供應鏈資安

台灣近年來發生的資安事件,以華航、台積電最令人印象深刻,分別象徵了從民營企業到地緣政治最關鍵供應鏈資安的疏漏與啟發。

五年前,一場資安風暴讓台積電付出高達五十二億元昂貴代價。華航會員個資則是自今年初開始外洩,累計超過五千筆,被駭客嘲笑「華航的重訊變成連續劇」。

二○一八年八月,台積電總裁魏哲家親上火線,率領高階主管對外證實,機台感染病毒,三大廠區停擺三天,影響當季營收百分之二。

那是台灣史上最大資安事故。勒索病毒WannaCry藏身新機台,造成台積竹科、中科及南科生產線大當機。

台積電深刻體認,資安防護不是防火牆多高、多綿密,而是員工、設備及所有供應商是否與公司站在同一陣線、以同一標準完善資安架構。這就是供應鏈資安。

供應鏈資安是從上游到下游、一條龍完善的里程,供應鏈資安管理已成顯學。

對內,台積資訊人員透露,公司每天面對上千次網路攻擊,甚至發現駭客潛伏超過一年未有行動,資訊人員每日緊盯其目的。內部還成立紅色軍團模擬入侵,藉此尋覓網路漏洞。對外,台積針對供應商建立一套資安檢核規範;產線也設立第二道自動檢測系統。

台積永續報告書顯示,截至二○二二年十一月已完成六三九家供應商資安評鑑,改善七千個關鍵資安弱點。

相較台積電制定一條龍的資安規則,華航則是電商平台有五千多筆會員資料遭擷取。華航重申,會委同第三方的資安聯防廠商全面性檢視系統安全,也同步要求委外廠商提升資安管理措施。

但不只華航,資安檢測品牌Cymetrics近日發布台灣航空旅遊業資安報告,發現台灣十五家知名航空旅遊業者中,十四家出現帳密外洩漏洞,企業內部未宣導正確的帳號密碼使用行為(如不應將公司帳號使用於社交網站)宣導,致員工資安意識不足、帳密外洩。

華航發言人魯淑慧說,華航已提升資安預算、投注資源,還參照資通安全責任最高等級的A級範疇精進安全系統,成立跨部門的「資安暨個資管理委員會」及「資料保護長」。

公司並採取三大措施,包括:一,委同第三方的資安聯防廠商全面性檢視系統安全,也同步要求委外廠商提升資安管理措施。二,積極精進資通安全系統,每月執行整體系統弱點掃描偵測風險。三,不定期進行全員釣魚電郵演練,提升員工資安知識與意識。

朝陽科技大學飛航系主任盧衍良感嘆,加強內部教育及員工意識,將資安視作己任,是各行各業一大課題。

相關文章

More