iT邦幫忙

2025 iThome 鐵人賽

DAY 18
1
Security

企業資訊韌性實例分析系列 第 18

DAY 18 資訊韌性實例分析17— 國巨(上市電子零組件;股票代號:2327)

  • 分享至 

  • xImage
  •  

一、企業背景與產業環境

國巨(上市電子零組件;股票代號:2327)為全球知名的被動元件製造商,近年透過併購擴展至美國、歐洲與亞洲市場,旗下子公司涵蓋電容、電阻、電感等關鍵零組件供應。其資訊系統承載大量製造參數、客戶訂單與供應鏈資料,資安韌性直接關係到全球供應穩定與客戶信任。
根據 2024年11月Yahoo 股市的報導(相關連結:https://tw.stock.yahoo.com/share/30e9b847-93f5-4784-9def-bd423c5fad90 ),國巨子公司基美(KEMET)在2022年10月12日,於美國遭駭客攻擊,事件發生後並未即時發布重大訊息,導致延遲揭露而遭證交所裁罰新台幣5萬元。此舉引發外界對其資安通報制度與揭露透明度的質疑。

二、資訊韌性切入角度

(1) 國巨於113/11/08在公開資訊觀測站所發佈之重訊:(該事件已過兩年的時間)
https://ithelp.ithome.com.tw/upload/images/20251001/20107482FwgM8FYpjT.jpg

(2) 引用2024/11/8鉅亨網新聞網報導:https://tw.stock.yahoo.com/share/41341a5f-baf1-3650-9a3d-77306ac41347

三、韌性策略與實際狀況

國巨雖具備跨國營運架構與資安防護能力,但此次事件顯示其在制度韌性上仍存在明顯落差:

•	通報節奏失調:事件發生後未依規定時限通報,顯示內部通報流程與法遵機制可能不夠健全;
•	揭露透明度不足:未主動向外界說明事件影響範圍、復原進度與改善措施,削弱外部信任;
•	跨國治理斷層:子公司發生資安事件,母公司未能即時掌握並處理,顯示資安治理未能有效整合併購體系。

四、制度與文化支撐

https://ithelp.ithome.com.tw/upload/images/20251001/20107482tGQxVkeiR5.jpg

從2024年國巨的永續報告書來看,國巨主要的資安政策是朝向保密的方向,對於通報及跨國資安管理並未有提及

五、筆者看法及觀點

由於國巨這件資安事件是發生在兩年前,兩年之後,才公告該事件所造成的損失:

「取消訂單加閒置產能影響金額約 370 萬美元(約新台幣 1.2 億元),影響比率不重大,對公司營運無重大影響。」
「國巨說明,於遭受網路攻擊時,訂單取消金額約 60 萬元,佔 KEMET ElectronicsCorporation 2022 年度銷貨收入約為 0.04%;閒置產能影響金額約美元 310 百萬元,佔其 2022 年度營業利益約為 0.75%。」

根據新聞的這兩段說明,到底損失達多少比例才算對營運有影響?如果沒有重大影響,那為何又被交易所管區要求113年度公告,並罰款?

然而,這樣的損失比例是否「不重大」,其判準並不明確。若以 0.75% 的營業利益損失來看,雖未讓整體營運損害程度,但對單一子公司而言,已不是說對營運沒有影響了。更何況,事件造成的並非單一財務損失,而是延伸出例如:訂單取消、產能停擺、客戶信任受損與系統復原成本等多重衝擊。因此,交易所要求國巨於113年度補公告並裁罰,反映出主管機關對「資訊揭露延遲」與「損失影響低估」的制度性警訊

筆者認為,交易所應明確訂定「對公司營運有無重大影響」的量化標準,例如以營業利益、營收、或資產損失比例作為通報門檻,避免企業以模糊語句淡化事件影響。此外,國巨在 113 年度補公告後,於永續報告書與股東會年報中,也並未針對該事件進行制度性檢討或揭露通報流程的改善措施,顯示資安治理尚待強化。

最後,若企業選擇延遲揭露、低估影響、缺乏反思,很有機會會在下一次事件中,付出更高的資安韌性的代價。

以上給大家做參考!


上一篇
DAY 17 資訊韌性實例分析16— 環球晶(櫃半導體;股票代號:6488)
下一篇
DAY 19 資訊韌性實例分析18— 華新科(上市電子零組件;股票代號:2492)
系列文
企業資訊韌性實例分析19
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言