查士朝/台积电中毒 资安漏洞怎么补
▲台积电日前机台染毒,损失预估高达52亿元。(图/达志影像/美联社)
按照台积电8月5日在公开资讯观测站所发布的新闻稿,因为其在安装新机台的软体时,未做好扫毒的动作,以至于病毒感染其他连线机台。而台积电的产值庞大,依照其总裁魏哲家先生在8月6日晚上记者会发布的内容,虽仅影响第三季营业额的2%,但预估也会达到52亿元之谱。
台积电的资安一直是业界的标竿,其内有众多菁英在从事资安工作,但即便如此,竟然在最基本的防毒工作上出了问题,著实令人讶异。但就这次事件来说,有些议题是可供大众思考:
首先,找寻问题有时比迅速回复营运重要。很多企业在遇到资安问题以后,首先想的是如何很快的将环境回复,但若问题的源头并没有被解决,未来仍有可能发生类似的问题。以资讯安全来说,我们无法预测所有可能会发生的事件,因此,从事件中学习非常重要。而就台积电这次病毒事件来说,能够追踪到源头是来自于新机台的软体安装失误,就能够针对这样的事件进行检讨而避免问题再次发生,不愧是标竿企业。
其次,现在企业要更积极面对老旧系统(Legacy System)的问题。以这次病毒事件来说,许多人第一个疑问可能是:为何一个病毒就可以对台积电造成那么大的影响?详细的状况我不清楚,但是目前许多工厂应该都会面对系统更新的问题。
目前许多工具机相关的电脑,可能作业系统都是很容易受到攻击的旧系统版本,但这并不是像一般的电脑按下更新就好。很多电脑上面跑的程式可能系统更新后就不能运作,甚至有很多系统是要求原厂开发的客制化版本,自然无法轻易更新。更有甚者,许多工具机系统,也找不到支援的防毒软体。这就会造成一旦内部有病毒入侵,就可能一发不可收拾的问题。其实以我国制造业推动自动化的时程,许多工厂目前应该充斥著这种老旧系统,且系统可能已经盘根错节而无人敢轻易变更。这就形成企业在资安上的一大隐忧,建议可以开始进行盘点,先彻底掌握这些系统元件的功能与相互影响,并且规划对系统进行再造。
而近年来对岸推动《反恐法》,在大陆设厂之科技业者,为了确保商业机密之安全,往往会采用云端架构,在需要时才将资料送交当地工厂的机械执行,而使用完毕后则进行删除。当过去采用封闭式架构的工厂连上了网路,对于当初并没有考虑到网路安全的老旧系统来说,虽然可以透过监控与管控的技术加以补强,但更呈现构思因应之道的急迫性。
第三,资安并非只靠购买资讯安全设备或软体,虽然现在的技术可以对使用者的异常行为进行拦截,但就目前的技术水准来说,效果仍然有限。因此,人员仍是资讯安全相当关键的一环。为了控制作业风险,需要建立标准作业程序,并透过控制点去确保程序的落实。而相关的动作要留下纪录,以便事后可以进行追踪。但说起来容易,落实困难,应该由上而下,建立遵守资讯安全规范的文化。尤其高阶主管,更应该以身作则。简言之,资安绝对不只是法遵或是建立一套资讯安全管理制度就好。
第四,如有余力,要时常对既有的信赖假设进行检验。过去因为刚开始推动资安,资源有限,常会假设某些项目是安全的而掠过检查的工作,例如会假设原厂所提供的安装光碟里面的档案都可以信赖。但骇客可能直接攻击原厂,而在原厂提供的软体中埋藏病毒或后门。因此,无论是透过USB或光碟进行安装,乃至刚采购一台全新的机台,都要对这些会与既有机台连线的新装置进行安全检查。
最后,需要观察同业相关新闻,并评估发生类似事件时的解决方案。这次的病毒事件虽然如相关新闻所述,并没有发生直接的攻击行为,但以过去的经验,骇客常会锁定特定产业去发展攻击工具。像是之前就有骇客针对银行业去进行攻击。因此,当同业有公司被攻击时,也要有相当的警觉,并观察骇客是否已经开始要对同类型的机器进行攻击。
总而言之,资讯安全并没有一个万灵丹,也不会有一劳永逸的作法,必须要随著技术的演进,不断调整自身的作法,以对于外界的威胁或自身的弱点进行防御。而台积电这次的病毒事件,正可给其他企业一个启示:虽然推动资讯安全工作在大多数的情况下不会看到获利,但是可以避免企业遭受巨额的损失。
●作者查士朝,台湾科技大学资管系资讯管理系副教授。以上言论不代表本网立场,88论坛欢迎更多声音与讨论,来稿请寄[email protected]
