國巨(上市電子零組件;股票代號:2327)為全球知名的被動元件製造商,近年透過併購擴展至美國、歐洲與亞洲市場,旗下子公司涵蓋電容、電阻、電感等關鍵零組件供應。其資訊系統承載大量製造參數、客戶訂單與供應鏈資料,資安韌性直接關係到全球供應穩定與客戶信任。
根據 2024年11月Yahoo 股市的報導(相關連結:https://tw.stock.yahoo.com/share/30e9b847-93f5-4784-9def-bd423c5fad90 ),國巨子公司基美(KEMET)在2022年10月12日,於美國遭駭客攻擊,事件發生後並未即時發布重大訊息,導致延遲揭露而遭證交所裁罰新台幣5萬元。此舉引發外界對其資安通報制度與揭露透明度的質疑。
(1) 國巨於113/11/08在公開資訊觀測站所發佈之重訊:(該事件已過兩年的時間)
(2) 引用2024/11/8鉅亨網新聞網報導:https://tw.stock.yahoo.com/share/41341a5f-baf1-3650-9a3d-77306ac41347
國巨雖具備跨國營運架構與資安防護能力,但此次事件顯示其在制度韌性上仍存在明顯落差:
• 通報節奏失調:事件發生後未依規定時限通報,顯示內部通報流程與法遵機制可能不夠健全;
• 揭露透明度不足:未主動向外界說明事件影響範圍、復原進度與改善措施,削弱外部信任;
• 跨國治理斷層:子公司發生資安事件,母公司未能即時掌握並處理,顯示資安治理未能有效整合併購體系。
從2024年國巨的永續報告書來看,國巨主要的資安政策是朝向保密的方向,對於通報及跨國資安管理並未有提及
。
由於國巨這件資安事件是發生在兩年前,兩年之後,才公告該事件所造成的損失:
「取消訂單加閒置產能影響金額約 370 萬美元(約新台幣 1.2 億元),影響比率不重大,對公司營運無重大影響。」
「國巨說明,於遭受網路攻擊時,訂單取消金額約 60 萬元,佔 KEMET ElectronicsCorporation 2022 年度銷貨收入約為 0.04%;閒置產能影響金額約美元 310 百萬元,佔其 2022 年度營業利益約為 0.75%。」
根據新聞的這兩段說明,到底損失達多少比例才算對營運有影響?如果沒有重大影響,那為何又被交易所管區要求113年度公告,並罰款?
然而,這樣的損失比例是否「不重大」,其判準並不明確。若以 0.75% 的營業利益損失來看,雖未讓整體營運損害程度,但對單一子公司而言,已不是說對營運沒有影響了
。更何況,事件造成的並非單一財務損失,而是延伸
出例如:訂單取消、產能停擺、客戶信任受損與系統復原成本等多重衝擊。因此,交易所要求國巨於113年度補公告並裁罰,反映出主管機關對「資訊揭露延遲」與「損失影響低估」的制度性警訊。
筆者認為,交易所應明確訂定「對公司營運有無重大影響」的量化標準
,例如以營業利益、營收、或資產損失比例作為通報門檻,避免企業以模糊語句淡化事件影響。此外,國巨在 113 年度補公告後,於永續報告書與股東會年報中,也並未針對該事件進行制度性檢討或揭露通報流程的改善措施,顯示資安治理尚待強化。
最後,若企業選擇延遲揭露、低估影響、缺乏反思,很有機會會在下一次事件中,付出更高的資安韌性的代價。
以上給大家做參考!