iT邦幫忙

2022 iThome 鐵人賽

DAY 4
2
Security

從公開發行公司股東會年報分析公發公司資安揭露情形系列 第 4

Day4 股東會年報案例分析3--威剛(3260) (產業別:上櫃,半導體業)

  • 分享至 

  • xImage
  •  

《前言》

威剛是半導體大廠,去年四月份開始,由於加密貨幣奇亞幣的挖礦熱潮(目前已暴跌至乏人問津了),由於奇亞幣是利用儲存空間來來挖礦,所以當時硬碟需求、SSD及DRAM的需求及容量大幅的成長,造就了一段榮景,但也就在去年五月,威剛就遭受勒索病毒的入侵,所以,我們就來看看,威剛在今年度的股東會年報對於資通安全的揭露情形。


我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

一、資通安全風險管理架構:
資訊處負責統籌資訊安全,擬定相關控制程序與管理事宜,並定期進行資訊安全檢核。

二、資通安全政策:
(1) 強化網路與網頁安全(防火牆與入侵偵測系統、VPN 連線、網站弱點掃瞄)。
(2) 加強端點安全(端點管控系統、防毒軟體防護、網站管控、即時通訊管控、落實Windows 更新)。
(3) 資料外洩保護(文件分級與分權使用、可攜式儲存裝置管控)。
(4) 電子郵件安全(垃圾、病毒或釣魚郵件阻擋、郵件備存機制)。
(5) 增強 IT基礎架構(伺服器及網路叢集架構建立、資料異地備份)。
(6) 還原演練(檔案、資料庫與系統異機還原演練)。
(7) 提升資安意識(定期宣導、學分制教育訓練、社交工程演練)。
 
三、具體管理方案及投入資通安全管理之資源:
1.具體管理方案及投入資通安全管理之資源:
(1) 強化網路與網頁安全(防火牆與入侵偵測系統、VPN 連線、網站弱點掃瞄)。
(2) 加強端點安全(端點管控系統、防毒軟體防護、網站管控、即時通訊管控、落實Windows 更新)。
(3) 資料外洩保護(文件分級與分權使用、可攜式儲存裝置管控)。
(4) 電子郵件安全(垃圾、病毒或釣魚郵件阻擋、郵件備存機制)。
(5) 增強 IT基礎架構(伺服器及網路叢集架構建立、資料異地備份)。
(6) 還原演練(檔案、資料庫與系統異機還原演練)。
(7) 提升資安意識(定期宣導、學分制教育訓練、社交工程演練)。

除上述強化專案外,本公司落實執行各項既定資訊政策,包括不定期參與資訊安全研討會,以了解最新資訊安全問題、趨勢及相關強化措施,以持續強化與改善資訊安全管理。

(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。

我們依照廣達年報重大資通安全事件所揭露,並從新聞上資料,整理如下:
https://ithelp.ithome.com.tw/upload/images/20220918/2010748296XErPJGqr.png

本公司 110 年 5 月 23 日偵測到部分資通系統遭病毒攻擊,公司資安團隊第一時間啟動防禦機制及備援系統,並立即與資安專業人員合作清除病毒,全面提升網路資安層級,其受影響的伺服器陸續復原,110 年 5 月 24 日後出貨作業雖受些微延誤,但影響不大。此事件對公司營運無造成重大影響。

《攻擊事件簡述》:

根據媒體取得Ragnar Locker暗網公告的螢幕擷圖,這幫駭客宣稱已取得威剛1.5TB的資料,涵括公司機密資料以及合作夥伴、客戶及員工資訊,並在網路上公告數個檔案擷圖為證。威剛可能尚未與駭客聯繫。Ragnar Locker組織表示,由於威剛「不在乎伺服器上資料的安全性」,因此很快會將其公司資料放上網路公開。(引用自iThome:https://www.ithome.com.tw/news/144910 )

《分析》:

威剛對於資安的部分,主要是交由資訊處來做管理的,之前,筆者有常被問道,資安長是否是專任的問題?

筆者根據交易所的問答集,

依(內控)處理準則第 9 條之 1 規定,應指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,通常具備前開資訊安全長職能之人為一定層級以上之高階主管(如副總等),爰公司於指派資訊安全長時,應考量其職級權責是否足以勝任資訊安全長職務 。

由上述我們了解,其實是可以兼任的,但是職級及權責要至少又夠,才能擔任,所以威剛是可以由資訊處來兼任,不過,此處會有個問題,就是威剛在組織圖內,其實是看不到資訊處的,所以資訊處到底屬於何種層級就不得而知了,所以是否職級夠高?從股東會年報我們無法得知。此外,目前資安的部分已經提升至董事會階級,那麼威剛針對資安的報告或議案,是否有經過董事會或者審計委員會?這部分也未敘明,所以組織架構上,公司治理尚需要加強。

此外,公司的資安政策,由政策目標來看,主要偏向於防弊措施,但是,卻未往資安普及化的目標前進,也就是公司似乎沒有將各部門整合進資安管理之內。

到了具體管理方案及投入資通安全管理之資源這部分,公司雖然列出了七項正在進行的工作項目,然而,也未有評鑑與數據化資料。

最後,關於公司資安事件陳述,公司對於去年五月份的事件,主要就是隔離之後,藉由系統還原的方式,將勒索病毒的問題給處理掉,當然,公司在股東會年報的『科技改變(包括資通安全風險)及產業變化對公司財務業務之影響及因應措施』強調『在資安事件發生後,能立即回復資訊系統運作,大幅降低資訊系統營運空窗期,故資通安全風險對本公司財務業務應無重大不利之影響。』不過,在資安事件陳述,有寫道『110 年 5 月 24 日後出貨作業雖受些微延誤』,事實上出貨遭遇延誤,公司財務多少會受影響,甚至有違約的風險,這部分的風險勢必會影響到財務,公司對於該部分的風險評估以及財損就未充分的評估及揭露了。


上一篇
Day3 股東會年報案例分析2--廣達(2382) (產業別:上市,電腦及週邊設備業)
下一篇
Day5 股東會年報案例分析4--翔名(8091) (產業別:上櫃,電子零組件業)
系列文
從公開發行公司股東會年報分析公發公司資安揭露情形30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言