我個人認為，實務界的案例是最直接且最容易了解的，由其資本市場動輒上兆資金在流動，一點風吹草動，都可能影響整個經濟、社會。我們可以看到，美國副總統 彭斯在美國時間10/4講稿內強調，『我們(指美國)已經採取行動，授權加強在網路世界的能力，打造針對我們對手的嚇阻力量。』，強化網路能力作戰能力，已經毋須多言了。

(1)事件：台積電遭病毒攻擊，部分產線停擺
(2)被攻擊單位：台積電
(3)系統：機台停擺
(4)時間：2018年8月
(5)攻擊方式：據傳是WannaCry病毒，但筆者認為是SOP流程上的疏忽

以下是台積電的重大訊息公告內容：

『台積公司於8月3日傍晚部分機台受到病毒感染，非如外傳之遭受
駭客攻擊，台積公司已經控制此病毒感染範圍，同時找到解決方案，受影響機台正逐步恢復生產。
受病毒感染的程度因工廠而異，部分工廠在短時間內已恢復正常，
其餘工廠預計在一天內恢復正常。』

接著，筆者引述聯合新聞的報導：

『台積電昨天下午發布重大訊息指出，針對事件發生原因，主要是出於「新機台在安裝軟體的過程中操作失誤」，病毒在新機台連接到台積電內部電腦網路時，發生病毒擴散，但公司資料的完整性和機密資訊皆未受影響；公司已採取措施彌補此安全問題，也將進一步加強資訊安全措施。

台積電工程師指出，台積電的晶圓製造與測試機台都是對外採購，並由廠商灌好軟體系統，機台送進廠房安裝後，運作時須按標準作業流程掃毒，據查應是協力廠商或台積電員工未照 SOP 行事，將裝在 USB 機台的程式事先掃毒，才會讓病毒在新機台連接到公司內部電腦網路時擴散。』

因為台積電一直未說明真實情況，當然，有些新聞可能透過某些關係，了解台積電當日狀況，所以很詳盡的報導，但筆者看完之後，到底是中甚麼病毒? 老實說，並不是太重要，倒是有些對於資安的想法，分享給大家，讓大家思考一下。

站在一個從事稽核工作的我來說(金管會常說，稽核是資安的第三道防線)，內部控制，簡稱內控，這些東西，法令上的解釋如下：

『公開發行公司之內部控制制度係由經理人所設計，董事會通過，並由董事
會、經理人及其他員工執行之管理過程，其目的在於促進公司之健全經營…』

筆者看到一般公司，都把內部控制給搞混了，認為這是為了應付稽核查核才做的，然而，這些制度，其實是各單位根據實際情況去制訂屬於自己部門的SOP，稽核單位其實就是根據各單位所制定的SOP，進行查核。以強化公司作業流程上的控制管理。

筆者用簡單的方式來解釋，所謂『內部』，就是公司內部各單位。所謂的『控制』，就是如何管理。因此，將這兩個意思相結合，就是 『公司內部各單位的管理』。

台積電此次的問題，不在於公司沒有做資安，以台積電排除病毒的狀況，就可以了解，台積電的資訊安全，排除問題的能力非常之迅速，所以病毒入侵只是整個過程中的插曲。

那麼問題在哪裡呢？

答案就是：沒有遵照內控規定。

大家都很清楚，有絕大部分的駭客之所以能入侵，大部分都出在流程上的漏洞，有些人因為某個作業認為不重要，或者跳過某些該有的流程，只為貪圖方便，就直接跳過該有的程序，也就是這種心態，因而常常導致不可收拾的結果。

所以台積電最後聲明，要加強資安，筆者認為是錯誤的結論，台積電既然能夠解決病毒，那表示他們資安的軟、硬、韌體上，都有一定水準，換句話說，問題就在如何加強流程管理。

假使，這次事件是被駭客透過各種後門、木馬….各種手法攻破台積電主機，造成重大災害，台積電或許可以對外聲明加強資安控管。但很明顯的，這次是SOP出了錯，才造成的結果，因此，類似此種狀況，到底要不要算是資安問題，還是需要釐清。我再簡單一點的解釋，一個公司已經做好各種資安防護，結果，不是資安出問題，而是意想不到的人為疏失，那請問該如何防範這個人為疏失呢?

所以，就算銅牆鐵壁，也會敗在一個不注意的，資安還是切莫忽略人的因素啊!