iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 3
2
Security

三十篇資安實例分享及解析系列 第 3

三十篇資安實例分享及解析DAY 3--台積電遭病毒攻擊,部分產線停擺

  • 分享至 

  • xImage
  •  

我個人認為,實務界的案例是最直接且最容易了解的,由其資本市場動輒上兆資金在流動,一點風吹草動,都可能影響整個經濟、社會。我們可以看到,美國副總統 彭斯在美國時間10/4講稿內強調,『我們(指美國)已經採取行動,授權加強在網路世界的能力,打造針對我們對手的嚇阻力量。』,強化網路能力作戰能力,已經毋須多言了。

(1)事件:台積電遭病毒攻擊,部分產線停擺
(2)被攻擊單位:台積電
(3)系統:機台停擺
(4)時間:2018年8月
(5)攻擊方式:據傳是WannaCry病毒,但筆者認為是SOP流程上的疏忽

以下是台積電的重大訊息公告內容:

『台積公司於8月3日傍晚部分機台受到病毒感染,非如外傳之遭受
駭客攻擊,台積公司已經控制此病毒感染範圍,同時找到解決方案,受影響機台正逐步恢復生產。
受病毒感染的程度因工廠而異,部分工廠在短時間內已恢復正常,
其餘工廠預計在一天內恢復正常。』

接著,筆者引述聯合新聞的報導:

『台積電昨天下午發布重大訊息指出,針對事件發生原因,主要是出於「新機台在安裝軟體的過程中操作失誤」,病毒在新機台連接到台積電內部電腦網路時,發生病毒擴散,但公司資料的完整性和機密資訊皆未受影響;公司已採取措施彌補此安全問題,也將進一步加強資訊安全措施。

台積電工程師指出,台積電的晶圓製造與測試機台都是對外採購,並由廠商灌好軟體系統,機台送進廠房安裝後,運作時須按標準作業流程掃毒,據查應是協力廠商或台積電員工未照 SOP 行事,將裝在 USB 機台的程式事先掃毒,才會讓病毒在新機台連接到公司內部電腦網路時擴散。』

因為台積電一直未說明真實情況,當然,有些新聞可能透過某些關係,了解台積電當日狀況,所以很詳盡的報導,但筆者看完之後,到底是中甚麼病毒? 老實說,並不是太重要,倒是有些對於資安的想法,分享給大家,讓大家思考一下。

站在一個從事稽核工作的我來說(金管會常說,稽核是資安的第三道防線),內部控制,簡稱內控,這些東西,法令上的解釋如下:

『公開發行公司之內部控制制度係由經理人所設計,董事會通過,並由董事
會、經理人及其他員工執行之管理過程,其目的在於促進公司之健全經營…』

筆者看到一般公司,都把內部控制給搞混了,認為這是為了應付稽核查核才做的,然而,這些制度,其實是各單位根據實際情況去制訂屬於自己部門的SOP,稽核單位其實就是根據各單位所制定的SOP,進行查核。以強化公司作業流程上的控制管理。

筆者用簡單的方式來解釋,所謂『內部』,就是公司內部各單位。所謂的『控制』,就是如何管理。因此,將這兩個意思相結合,就是 『公司內部各單位的管理』

台積電此次的問題,不在於公司沒有做資安,以台積電排除病毒的狀況,就可以了解,台積電的資訊安全,排除問題的能力非常之迅速,所以病毒入侵只是整個過程中的插曲。

那麼問題在哪裡呢?

答案就是:沒有遵照內控規定。

大家都很清楚,有絕大部分的駭客之所以能入侵,大部分都出在流程上的漏洞,有些人因為某個作業認為不重要,或者跳過某些該有的流程,只為貪圖方便,就直接跳過該有的程序,也就是這種心態,因而常常導致不可收拾的結果。

所以台積電最後聲明,要加強資安,筆者認為是錯誤的結論,台積電既然能夠解決病毒,那表示他們資安的軟、硬、韌體上,都有一定水準,換句話說,問題就在如何加強流程管理。

假使,這次事件是被駭客透過各種後門、木馬….各種手法攻破台積電主機,造成重大災害,台積電或許可以對外聲明加強資安控管。但很明顯的,這次是SOP出了錯,才造成的結果,因此,類似此種狀況,到底要不要算是資安問題,還是需要釐清。我再簡單一點的解釋,一個公司已經做好各種資安防護,結果,不是資安出問題,而是意想不到的人為疏失,那請問該如何防範這個人為疏失呢?

所以,就算銅牆鐵壁,也會敗在一個不注意的,資安還是切莫忽略人的因素啊!


上一篇
三十篇資安實例分享及解析DAY 2--駭客勒索比特幣,癱瘓台灣券商交易系統
下一篇
三十篇資安實例分享及解析DAY 4--遠東國際商業銀行18億元被盜轉
系列文
三十篇資安實例分享及解析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
SunAllen
iT邦研究生 1 級 ‧ 2018-10-12 01:42:21

大大說的是,流程是最重要的!

1
CyberSerge
iT邦好手 1 級 ‧ 2018-10-12 04:22:46

The weakest link in cybersecurity in human
千防萬防,不遵守SOP的員工難防

1
牛哥
iT邦好手 1 級 ‧ 2018-10-12 13:59:40

台積電...?!駭客...?!SOP...?!
『這一切都是阿共仔的陰謀啦!』

看更多先前的回應...收起先前的回應...
彭偉鎧 iT邦研究生 1 級 ‧ 2018-10-12 14:03:01 檢舉

您的見解夠牛!

SunAllen iT邦研究生 1 級 ‧ 2018-10-12 14:27:43 檢舉

是牛哥耶,好久不見!

牛哥 iT邦好手 1 級 ‧ 2018-10-12 14:39:14 檢舉

/images/emoticon/emoticon24.gif

牛哥 iT邦好手 1 級 ‧ 2018-10-15 11:38:35 檢舉

其實表面上看來是一句玩笑話!?
若有仔細去探究,也許是牽涉到到國防層次的戰略攻防呢...

我要留言

立即登入留言