查士朝/臺積電中毒 資安漏洞怎麼補
▲臺積電日前機臺染毒,損失預估高達52億元。(圖/達志影像/美聯社)
按照臺積電8月5日在公開資訊觀測站所發佈的新聞稿,因爲其在安裝新機臺的軟體時,未做好掃毒的動作,以至於病毒感染其他連線機臺。而臺積電的產值龐大,依照其總裁魏哲家先生在8月6日晚上記者會發布的內容,雖僅影響第三季營業額的2%,但預估也會達到52億元之譜。
臺積電的資安一直是業界的標竿,其內有衆多菁英在從事資安工作,但即便如此,竟然在最基本的防毒工作上出了問題,着實令人訝異。但就這次事件來說,有些議題是可供大衆思考:
首先,找尋問題有時比迅速回復營運重要。很多企業在遇到資安問題以後,首先想的是如何很快的將環境回覆,但若問題的源頭並沒有被解決,未來仍有可能發生類似的問題。以資訊安全來說,我們無法預測所有可能會發生的事件,因此,從事件中學習非常重要。而就臺積電這次病毒事件來說,能夠追蹤到源頭是來自於新機臺的軟體安裝失誤,就能夠針對這樣的事件進行檢討而避免問題再次發生,不愧是標竿企業。
其次,現在企業要更積極面對老舊系統(Legacy System)的問題。以這次病毒事件來說,許多人第一個疑問可能是:爲何一個病毒就可以對臺積電造成那麼大的影響?詳細的狀況我不清楚,但是目前許多工廠應該都會面對系統更新的問題。
目前許多工具機相關的電腦,可能作業系統都是很容易受到攻擊的舊系統版本,但這並不是像一般的電腦按下更新就好。很多電腦上面跑的程式可能系統更新後就不能運作,甚至有很多系統是要求原廠開發的客製化版本,自然無法輕易更新。更有甚者,許多工具機系統,也找不到支援的防毒軟體。這就會造成一旦內部有病毒入侵,就可能一發不可收拾的問題。其實以我國製造業推動自動化的時程,許多工廠目前應該充斥着這種老舊系統,且系統可能已經盤根錯節而無人敢輕易變更。這就形成企業在資安上的一大隱憂,建議可以開始進行盤點,先徹底掌握這些系統元件的功能與相互影響,並且規劃對系統進行再造。
而近年來對岸推動《反恐法》,在大陸設廠之科技業者,爲了確保商業機密之安全,往往會採用雲端架構,在需要時纔將資料送交當地工廠的機械執行,而使用完畢後則進行刪除。當過去採用封閉式架構的工廠連上了網路,對於當初並沒有考慮到網路安全的老舊系統來說,雖然可以透過監控與管控的技術加以補強,但更呈現構思因應之道的急迫性。
第三,資安並非只靠購買資訊安全設備或軟體,雖然現在的技術可以對使用者的異常行爲進行攔截,但就目前的技術水準來說,效果仍然有限。因此,人員仍是資訊安全相當關鍵的一環。爲了控制作業風險,需要建立標準作業程序,並透過控制點去確保程序的落實。而相關的動作要留下紀錄,以便事後可以進行追蹤。但說起來容易,落實困難,應該由上而下,建立遵守資訊安全規範的文化。尤其高階主管,更應該以身作則。簡言之,資安絕對不只是法遵或是建立一套資訊安全管理制度就好。
第四,如有餘力,要時常對既有的信賴假設進行檢驗。過去因爲剛開始推動資安,資源有限,常會假設某些項目是安全的而掠過檢查的工作,例如會假設原廠所提供的安裝光碟裡面的檔案都可以信賴。但駭客可能直接攻擊原廠,而在原廠提供的軟體中埋藏病毒或後門。因此,無論是透過USB或光碟進行安裝,乃至剛採購一臺全新的機臺,都要對這些會與既有機臺連線的新裝置進行安全檢查。
最後,需要觀察同業相關新聞,並評估發生類似事件時的解決方案。這次的病毒事件雖然如相關新聞所述,並沒有發生直接的攻擊行爲,但以過去的經驗,駭客常會鎖定特定產業去發展攻擊工具。像是之前就有駭客針對銀行業去進行攻擊。因此,當同業有公司被攻擊時,也要有相當的警覺,並觀察駭客是否已經開始要對同類型的機器進行攻擊。
總而言之,資訊安全並沒有一個萬靈丹,也不會有一勞永逸的作法,必須要隨着技術的演進,不斷調整自身的作法,以對於外界的威脅或自身的弱點進行防禦。而臺積電這次的病毒事件,正可給其他企業一個啓示:雖然推動資訊安全工作在大多數的情況下不會看到獲利,但是可以避免企業遭受鉅額的損失。
●作者查士朝,臺灣科技大學資管系資訊管理系副教授。以上言論不代表本網立場,88論壇歡迎更多聲音與討論,來稿請寄editor88@ettoday.net