一、企業背景與產業環境

鑫聯大投控（股票代號：3709）為台灣上櫃控股公司，旗下子公司捷元股份有限公司主要從事資訊設備銷售與系統整合服務，涵蓋 B2B 採購平台與企業端 IT 解決方案。其資訊系統承載大量客戶訂單、採購資料與內部營運資訊，資安韌性好壞直接影響業務穩定性與客戶信任。

二、資訊韌性切入角度

(1) 鑫聯大投控於114/09/12在公開資訊觀測站所發佈之重訊：

三、韌性策略與實際狀況

捷元是鑫聯大100%持有之子公司，依規定透過母公司依資安事件通報程序通報主管機關，並啟動以下應變措施：
(1) 全面系統掃描
(2) 隔離受感染設備
(3) 加強資安防護機制

關於此事件的資訊韌性挑戰重點如下：

(1) 勒索病毒進入核心系統：顯示防毒、端點偵測與異常行為分析機制可能不足。
(2) 通報與應變流程啟動迅速：展現制度韌性，但未揭露復原時間與資料影響範圍，外界難以評估實際損害。
(3) B2B 採購平台遭異常下單：可能涉及帳號盜用或 API 漏洞，需進一步強化交易驗證與存取控管。

四、制度與文化支撐

從2024年鑫聯大的永續報告書內顯示，母公司及子公司有分開說明其資訊安全管理機制，如下圖所示：

本次事件，公司也依公司資安管理規定，進行通報，因此，鑫聯大還是具備基本的資安通報制度與跨公司協作能力。此外，公司也強調將持續監控並配合內外部技術專家進行調查與防護升級，展現出基本的文化韌性。

五、筆者看法及觀點

捷元公司在台灣是很知名的電腦通路商，在B2B的採購上，佔有很重要的位置，因此在強化供應鏈的資訊韌性上應該要更加投入，我們在此探討捷元B2B的採購平台可以加強的部分。

以下提出三個強化資安韌性的參考面向：

(1) 供應商資安風險評估與合約管理
針對重要供應商，捷元應建立一套資安能力評估機制，納入選商標準，並定期進行供應商調查與風險盤點。更進一步，要求關鍵供應商提供資安演練紀錄與應變計畫，不僅能提升整體防禦能力，也能在事件發生時快速聯動、降低擴散風險。

在合約管理方面，應明確規範資安責任與通報義務，並建立定期稽核制度，確保供應商落實資安承諾。此外，導入供應商自評機制與第三方資安報告交付制度，有助於形成可量化、可追蹤的資安治理架構。

(2) 強化交易驗證與平台防護機制
B2B 採購平台作為企業與供應商間的核心交易介面，應導入多重驗證機制（如 MFA）、行為分析模型與 API 安全設計，防止帳號盜用、異常下單與資料竊取。特別是在採購流程中，應設置異常警示與人工覆核機制，確保交易安全性與可控性。

(3) 從「注意」到「內化」的文化轉型
上述兩點雖為電子通路商常見的資安管理項目，但真正的韌性來自於制度的內化與文化的深化。捷元若能將資安視為供應鏈治理的一部分，並透過教育訓練、跨部門協作與持續演練，將資安意識滲透至採購、財務、客服等關鍵流程，將能有效提升整體韌性成熟度。

由於該事件是屬於電子通路商B2B的資安事件，在此做個簡單分析，也給大家做個參考!