iT邦幫忙

2025 iThome 鐵人賽

DAY 19
0
Security

企業資訊韌性實例分析系列 第 19

DAY 19 資訊韌性實例分析18— 華新科(上市電子零組件;股票代號:2492)

  • 分享至 

  • xImage
  •  

一、企業背景與產業環境

華新科技(上市電子零組件;股票代號:2492)為台灣指標性的被動元件製造商,產品涵蓋電阻、電容、電感等關鍵零組件,廣泛應用於通訊、汽車、工控與消費電子領域。其資訊系統承載大量製程參數、客戶訂單與技術資料,資安韌性直接關係到供應鏈穩定與客戶信任。

根據2024年10月23日重大訊息揭露,華新科技部分資訊系統遭受網路攻擊,公司已即時啟動防禦機制並進行應變處理。資安業者指出,攻擊者可能為勒索軟體集團 RansomHub,該集團聲稱竊得多達 150 GB 的技術文件、協定與簽章資料,並要求在 10 月 31 日前支付贖金,否則將公開資料。

二、資訊韌性切入角度

(1) 華新科技於113/10/23以及113/10/28在公開資訊觀測站所發佈之重訊:
https://ithelp.ithome.com.tw/upload/images/20251002/20107482ReVUmRYvtj.jpg
https://ithelp.ithome.com.tw/upload/images/20251002/20107482trWXlAbwrF.jpg

(2) 引用2024/10/26經濟日報新聞網報導:https://money.udn.com/money/story/5612/8318155

三、韌性策略與實際狀況

華新科技在事件發生後即發布重大訊息,表示已啟動防禦機制,並評估對營運無重大影響。公司強調:

•	已啟動資安防護與系統隔離;
•	尚未發現個資或內部文件外洩;
•	將持續強化資訊安全與監控機制。

然而,報導指出部分產品資料已在暗網公開,顯示公司對外洩狀況的掌握可能滯後。揭露內容雖有初步說明,但未見:

•	攻擊手法與弱點分析;
•	是否啟動客戶通知與風險告知;
•	是否進行制度檢討與改善計畫。

之後,華新科於當日針對經濟日報所發布之新聞發佈重訊澄清,強調公司已啟動資安防護機制,並已向法務部調查局備案。此舉顯示公司已意識到事件的潛在嚴重性,並試圖透過司法機關進行後續調查與協助。然而,從通報層級來看,雖已進入政府機關處理流程,但公司並未明確說明是否同步啟動內部資安事件通報機制、是否通知受影響客戶或供應商、是否依個資法或資安管理法進行正式通報。

另外,我們也對於RansomHub的影響,也根據報導整理以下的說明:

RansomHub 為新興勒索軟體集團,採高利潤分潤模式吸引熟練駭客加入,攻擊手法包括:

•	利用釣魚郵件、已知漏洞與密碼洩漏進行滲透;
•	針對外部系統與使用者端點進行入侵;
•	竊取資料後進行加密與勒索。

華新科技若未部署零信任架構、MFA(多因子驗證)、漏洞管理與微隔離技術,將難以抵禦此類複合型攻擊。

四、制度與文化支撐

(1) 2024年永續報告書有關資訊安全之內容:
https://ithelp.ithome.com.tw/upload/images/20251002/20107482yZjPhTkJHQ.jpg

(2) 2024年股東會年報之內容:
https://ithelp.ithome.com.tw/upload/images/20251002/20107482oHPzqyTr7d.jpg

從以上兩項資訊揭露來看,根據華新科技於2024年10月23日發布的重大訊息,資安事件僅提及「部分資訊系統遭受攻擊」,並未明確指出受影響的廠區。然而,根據其永續報告書與股東會年報後續揭露,實際受影響範圍包括台灣高雄廠與中國蘇州廠,顯示事件影響已跨及兩地營運據點。顯然還是有資訊不一致的狀況。因此,可以看出華新科在資訊揭露有明顯不一致的狀況,這也讓外部對其資訊韌性的產生一定程度的質疑

五、筆者看法及觀點

華新科的一系列公開資訊的公告,其實都存在著一定的落差,資訊韌性其實是要看公司整體對於資安事件,所表現出來的作為,最後再來觀察公司對於事件後續復原的狀況,進一步增強公司資訊韌性,我們都了解,外部攻擊始終都存在,而且強度不會減低,手法時刻都在進化,如果公司無法承受越來越縝密的外部攻擊,那公司未來勢必無法抵擋更猛烈的攻擊行為。

如經濟日報的新聞所提到,「RansomHub 通常僅保留 10% 的攻擊利潤給勒索軟體開發者,而將 90% 的利潤留給附屬會員,正因如此,才會吸引 Scattered Spider 等熟練犯罪的組織加入。」這種分潤模式不僅提高了攻擊誘因,也使得勒索軟體攻擊從單點行動演變為高度分工的「犯罪即服務」(Crime-as-a-Service)商業模式

事實上,外部攻擊已不再是零星駭客的突襲行為,而是逐漸轉化為一種組織化、法律化、技術化的產業鏈運作。這些攻擊集團具備明確的角色分工,包括漏洞開發者、滲透者、資料竊取者、談判者與洗錢管道,甚至設有客服與 SLA(服務水準協議),以確保「贖金交易」順利完成。

更令人憂心的是,部分勒索集團已開始模仿合法企業的運作模式,設立網站、發布新聞稿、甚至提供「試閱資料」以施壓受害者。這種「企業化的犯罪組織」不僅提升了攻擊效率,也讓傳統資安防禦機制面臨前所未有的挑戰

對企業而言,資安韌性不再只是防火牆與備份系統的問題,而是必須建立一套能夠應對「商業化攻擊」的治理架構,然而,我們看到華新科在此次事件當中,很明顯地無法處理類似的外部攻擊,筆者大致認為有幾項問題存在。

首先,揭露不一致,重訊未涵蓋實際受影響廠區,這種揭露落差反映出以下在資安通報制度上的斷層:

(1)重訊揭露偏向簡化,未具體說明受影響廠區與系統。
(2) 永續報告與年報補充揭露,但時間滯後,無法即時提供利害關係人風險判斷依據。
(3) 資訊一致性不足,可能造成外部誤判事件嚴重性與信任損耗。

其次,我們也看到華新科在永續報告書及股東會年報上,對於資安政策與管理制度,內容仍然偏向簡單說明的模式,並沒有提出數據化、策略面等等的說明,重要的通報程序,也未見其著墨太多,所以在其制度上可能存在極高的風險程度,對於公司整體來說,在資安韌性的表現上,明顯的偏弱。

因此,對於強化華新科的資訊韌性,筆者還是有以下四點的建議:

•	建立跨廠區資安通報標準作業程序(SOP),確保所有營運據點能同步通報與揭露;
•	推動資安事件後分析報告制度,釐清攻擊手法、弱點來源與制度改善方向;
•	將資安治理納入董事會監督與永續報告核心章節,提升治理層級與透明度;
•	強化資安文化內化機制,透過教育訓練與演練,建立即時通報與風險感知能力。

最後,要強化資訊韌性,是需要時間的,但只要開始就要持續強化,假設只是應付的心態,那之後可能會面臨無法承受的風險損失。

以上給大家做參考!


上一篇
DAY 18 資訊韌性實例分析17— 國巨(上市電子零組件;股票代號:2327)
系列文
企業資訊韌性實例分析19
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言