“確實是我們的疏失!”,才剛接任臺積電總裁約兩個月的魏哲家6日在病毒感染機臺外對說明記者會上,坦言內部作業疏失。擁有數萬臺機臺,晶圓廠遍及海內外的臺積電,8月3日傍晚竟因為一座機臺感染WannaCry變種病毒不察,上線快速蔓延,導致正在作業晶圓停擺,機臺停機,損失高達1.7億美元。
這對“資安優等生”臺積電而言,有點不堪想象。
平日資安滴水不漏的臺積電,連一個外來電子設備進入廠區都嚴格把控,竟然會讓未經隔離掃毒嚴查過的機臺直接上線,新機SOP check流程出現這麼一個大漏洞。
臺積電的“休克”案例,足以讓國內晶圓廠高度警戒,自危排查任何可能存在的資安風險,包括中芯國際在內晶圓廠都緊急啟動排查專案,確保此類“染毒”事件不會發生;此外,武漢、南京、成都、合肥、晉江等多地新建晶圓廠也以臺積電慘痛案例為鑑,要求move-in equipment排查可能安全漏洞與隱患。
可說,臺積電一休克,全球晶圓廠也跟著神經緊繃。但反觀,已從暫時休克狀態中甦醒的臺積電,沒說清的疑點還很多。
臺積電澄清? 眾多疑點未解
1.臺積電三連發大動作澄清
從事發3日傍晚,臺積電緊急發佈聲明,到5日再度發新聞稿說明損失情況與解決方案,接著6日對外召開媒體記者會,總裁魏哲家親自上火線說明,臺積電連日內一連串動作針對同一事件,這種“不淡定”是臺積電在過去所沒有的,也代表此事確讓這個晶圓巨頭很“震動”。
這也代表臺積電將病毒感染事件,除了直接影響營運市場股價,更對臺積電的對外形象與品牌誠信展開“危機公關”,市場上蔓延起所謂的競爭對手“陰謀論”,時機又正逢二代接班人剛上任,處於外界檢視考核這屆接班人運營與危機處理能力的敏感階段。
所以親上火線說明的魏哲家,記者會上巧用一段“客戶trust臺積電”的話,望彌平外界疑慮,但事發已整整第三天,所有涉及高階主管對外真正的用意恐怕是傳遞給市場上更多客戶宣示臺積電的品質把控未受影響,與即便遭受影響也在“可控的範圍”,好重拾外界對臺積電的信心。
但,事實真的如此嗎?
2.病毒潛藏機臺window7 來自哪家供應商?隻字未提
據臺積電說法,所有病毒感染,源自一座機臺,而這一座機臺操作系統是Window 7遭到WannaCry變種病毒感染。但難以想象的是,臺積電平日針對上千家供應商,尤其作為設備與材料供應商,往往經過層層軟硬件與技術驗證,居然在交付時,沒嚴格把控機臺安全,就讓臺積電可以上線使用。
WannaCry病毒並非近日才有,為何機臺在出廠時,供應商沒有排查出來即交付給臺積電?這個供應商是否同一批次也有交貨給其他晶圓廠?臺積電沒有對外說明。
這讓整個供應鏈留下一個很大的謎題與不安隱患。
作為臺積電半導體生態圈領頭羊,資安與環安作為一直是臺積電視為企業社會責任重要一環。這不僅作為生態鏈巨頭,是否應該適度向供應鏈系統提出示警與解決方案參考?也是重要一分子的擔當與責任。
3.為何人為操作,導致疏失?
更不可思議的,發生在機臺交付之後,擁有數萬臺設備的臺積電,竟然以人為操作進行機臺的連線作業導致這次的不幸,正因沒有先隔離殺毒,擅自連線導致病毒蔓延。過去外界印象,臺積電代表著巨型晶圓廠高度自動化,都在這一次事件中“神話破滅”。為此人為環節疏失付出慘重的代價。
事實上,臺積電內部,建立了一套完整的網路及電腦安全防護系統以控管或維持公司的製造,營運及會計等重要運作的功能,所幸這次的病毒並未“加密”,也並未棘手程度到深入竊得傷及臺積電機密數據,讓臺積電得以迅速排查出來,並將災情控制住。
相較於魏哲家所言,對這次臺積電同仁的處理很滿意;臺積電的資安主管,則是一臉嚴肅,態度更為小心嚴謹,坦言在瞬息萬變的網路安全威脅中要承受推陳出新的病毒風險和攻擊,是所有企業共同挑戰,當然,臺積電也不能完全保證其電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。
過去臺積電資安優等生的成績單“破功”,甚至可能因中斷出貨而需賠償客戶損失,這個“資安汙點”無可逃避的未來也將記在營運年報內,成為臺積電徹底檢視資安政策與補救舉措的重大教案。
4.其他機臺沒即時修正軟件/補丁?又一個可侵入窗口
值得注意的是,這次臺積電記者會中洩露了一個原本外界都不知道訊息,臺積電機臺內Window7操作系統沒有適時進行修正更新(打補丁)。
而事實上,WannaCry病毒並非今日才有,一出肆虐,微軟已經祭出補丁方案;臺積電的說法卻是,這些機臺若要安裝修正軟件,需要停機重啟,對於臺積電而言,“時間就是金錢”產線停擺似乎是不容許的(或者代價過高?),所以武斷的講,並未完全落實?
強大如臺積電,理應與軟硬件供貨商有更深度協同的合作,卻無法令其操作平臺實時更新與維護,事發過後,未來找適當時機,才能將這些機臺更新進一步修正。中間的被動性與缺乏敏捷僵化,暴露無疑。
此偶發事件,已足以給臺積電一個教訓,但豈不是昭告天下自曝其短,給了“魔鬼”鑽漏洞的條件?
一般來說晶圓廠都有安排在出貨淡季“歲修”,藉機維修與更新機臺設備,此時爆發對臺積電而言,正巧是下半年追趕出貨的旺季,時間點可說非常“尷尬”。
5.為何如此“自信”沒有內神通外鬼?
令外界疑惑的是,臺積電徹查此事宣佈已經找到原因與錯誤過程,但是唯一的元兇只有“病毒”,卻沒有說明出事的部門,沒有說明廠家與來源,但卻能自信滿滿地指出不是外在駭客攻擊,也沒有“內鬼”,這一股自信哪裡來?留下外界許多疑惑。
臺積電機密資訊保護(Proprietary Information Protection, PIP)政策嚴格把關,上至對上千家供應商都進行PIP訓練,下至近5萬名員工遵循嚴格PIP規範,小到基本門禁安全與識別證使用細節,到電子郵件外寄權限與文件打印控管,以及電腦設備與網路使用,每個月還進行超過200萬人次的PIP稽查,在這種情況下員工PIP違規率維持1%左右。
1%漏洞,百密一疏,這堂課,可說臺積電付的真貴!而其他晶圓廠,引以為鑑更不能心存僥倖。
閱讀更多 DIGITIMES 的文章
