一、企業背景與產業環境

奈米醫材（櫃生技；股票代號：6612）為台灣上櫃公司，專注於生醫材料與眼科醫療技術，其海外子公司 AST VisionCare Inc.（ASTVC-US）在美國從事相關投資與合作。該集團涉及跨境資金流、技術授權與股權管理，資訊安全與財務控管直接影響企業信任與永續經營。

二、資訊韌性切入角度

(1) 奈米醫材於114/09/08在公開資訊觀測站所發佈之重訊：

(2) 引用2025/05/20 iThome報導：https://www.ithome.com.tw/news/171077

三、韌性策略與實際狀況

根據報導，ASTVC-US 遭遇商業郵件詐騙（BEC）攻擊，駭客冒用該公司名義，向合作夥伴 Millennium Biomedical Inc.（MBI）發送偽造匯款帳號的電子郵件，導致原本應匯入 ASTVC-US 的資金誤匯至駭客控制的帳戶。損失金額高達 140 萬美元。

韌性挑戰重點如下：

(1) 電子郵件驗證機制不足：駭客能成功偽造信件，顯示 SPF、DKIM、DMARC 等防偽技術可能未全面部署。
(2) 跨境資金流風險控管薄弱：BEC 攻擊針對的是「人與流程」，顯示企業在財務流程中缺乏多重驗證與異常警示機制。
(3) 子公司資安治理落差：母公司雖具備資安制度，但海外子公司可能未同步落實，形成治理斷層。

四、制度與文化支撐

本次資安事件，主要係假郵件所引起，因此檢視奈米醫材2024年股東會年報，有關資安管理在郵件安全防護的措施，根據年報，公司是有加入偵測偽造電子郵件閘道的功能。資料如下圖所示：

五、筆者看法及觀點

此次有關奈美醫材重要子公司MBI發放股利給ASTVC-US過程當中，發生匯款至冒名虛假帳號，根據2024年股東會年報顯示，MBI併入ASTVC-US時間為2024年7月，截至本次重訊發布時間併購時間其實已超過一年時間，相關資料如下圖：

因此，根據「公開發行公司建立內部控制制度處理準則」第五條第二項規定，「公開發行公司應考量公司及其子公司整體之營運活動，設計並確實執行其內部控制制度，且應隨時檢討，以因應公司內外在環境之變遷，俾確保該制度之設計及執行持續有效。」因為此次發生的問題是在於子公司(已併入超過一年以上，稽核報告查核，應該在該年度就已經納入子公司稽核)，所以內部稽核單位，應該在子公司查核時，馬上確認子公司是否有導入如母公司奈美醫材郵件閘道監測系統，並且加強有關子公司資安方面的稽核，如果有問題，應提出相關缺失報告，並追蹤該善情況，當然，如果當時查核時，未發現缺失，後續就要針對此次事件，加強子公司資安查核，以維護公司整體的資訊韌性。

電子郵件真偽不只靠偵測系統，同時也應該於公司制度之內，建立再確認的規定，尤其應該加強宣導所謂「社交攻擊」的問題，針對該事件，還是建議公司能注意以下各個層面的解決方案：

(1) 全面部署郵件防偽技術（SPF、DKIM、DMARC），防止信件偽造與冒名。
(2) 建立跨境資金流多重驗證機制，如匯款前電話確認、雙人授權、異常行為警示。
(3) 推動子公司資安制度同步化，納入母公司治理架構，定期稽核與演練。
(4) 強化員工資安意識訓練，特別針對財務、法務與高階管理人員進行 BEC 防範教育。

ASTVC-US的BEC事件不只是一次財務損失，更是企業資安韌性與治理一致性的警訊。在全球化營運架構下，資訊韌性不只是技術防禦，更是制度設計、流程控管與文化內化的整合工程。唯有從母公司到子公司全面升級，企業才能真正建立抵禦風險、快速回復並維持信任的能力。

以上給大家參考!