一、企業背景與產業環境

華新科技（上市電子零組件；股票代號：2492）為台灣指標性的被動元件製造商，產品涵蓋電阻、電容、電感等關鍵零組件，廣泛應用於通訊、汽車、工控與消費電子領域。其資訊系統承載大量製程參數、客戶訂單與技術資料，資安韌性直接關係到供應鏈穩定與客戶信任。

根據2024年10月23日重大訊息揭露，華新科技部分資訊系統遭受網路攻擊，公司已即時啟動防禦機制並進行應變處理。資安業者指出，攻擊者可能為勒索軟體集團 RansomHub，該集團聲稱竊得多達 150 GB 的技術文件、協定與簽章資料，並要求在 10 月 31 日前支付贖金，否則將公開資料。

二、資訊韌性切入角度

(1) 華新科技於113/10/23以及113/10/28在公開資訊觀測站所發佈之重訊：

(2) 引用2024/10/26經濟日報新聞網報導：https://money.udn.com/money/story/5612/8318155

三、韌性策略與實際狀況

華新科技在事件發生後即發布重大訊息，表示已啟動防禦機制，並評估對營運無重大影響。公司強調：

•	已啟動資安防護與系統隔離；
•	尚未發現個資或內部文件外洩；
•	將持續強化資訊安全與監控機制。

然而，報導指出部分產品資料已在暗網公開，顯示公司對外洩狀況的掌握可能滯後。揭露內容雖有初步說明，但未見：

•	攻擊手法與弱點分析；
•	是否啟動客戶通知與風險告知；
•	是否進行制度檢討與改善計畫。

之後，華新科於當日針對經濟日報所發布之新聞發佈重訊澄清，強調公司已啟動資安防護機制，並已向法務部調查局備案。此舉顯示公司已意識到事件的潛在嚴重性，並試圖透過司法機關進行後續調查與協助。然而，從通報層級來看，雖已進入政府機關處理流程，但公司並未明確說明是否同步啟動內部資安事件通報機制、是否通知受影響客戶或供應商、是否依個資法或資安管理法進行正式通報。

另外，我們也對於RansomHub的影響，也根據報導整理以下的說明：

RansomHub 為新興勒索軟體集團，採高利潤分潤模式吸引熟練駭客加入，攻擊手法包括：

•	利用釣魚郵件、已知漏洞與密碼洩漏進行滲透；
•	針對外部系統與使用者端點進行入侵；
•	竊取資料後進行加密與勒索。

華新科技若未部署零信任架構、MFA（多因子驗證）、漏洞管理與微隔離技術，將難以抵禦此類複合型攻擊。

四、制度與文化支撐

(1) 2024年永續報告書有關資訊安全之內容：

(2) 2024年股東會年報之內容：

從以上兩項資訊揭露來看，根據華新科技於2024年10月23日發布的重大訊息，資安事件僅提及「部分資訊系統遭受攻擊」，並未明確指出受影響的廠區。然而，根據其永續報告書與股東會年報後續揭露，實際受影響範圍包括台灣高雄廠與中國蘇州廠，顯示事件影響已跨及兩地營運據點。顯然還是有資訊不一致的狀況。因此，可以看出華新科在資訊揭露有明顯不一致的狀況，這也讓外部對其資訊韌性的產生一定程度的質疑。

五、筆者看法及觀點

華新科的一系列公開資訊的公告，其實都存在著一定的落差，資訊韌性其實是要看公司整體對於資安事件，所表現出來的作為，最後再來觀察公司對於事件後續復原的狀況，進一步增強公司資訊韌性，我們都了解，外部攻擊始終都存在，而且強度不會減低，手法時刻都在進化，如果公司無法承受越來越縝密的外部攻擊，那公司未來勢必無法抵擋更猛烈的攻擊行為。

如經濟日報的新聞所提到，「RansomHub 通常僅保留 10% 的攻擊利潤給勒索軟體開發者，而將 90% 的利潤留給附屬會員，正因如此，才會吸引 Scattered Spider 等熟練犯罪的組織加入。」這種分潤模式不僅提高了攻擊誘因，也使得勒索軟體攻擊從單點行動演變為高度分工的「犯罪即服務」（Crime-as-a-Service）商業模式。

事實上，外部攻擊已不再是零星駭客的突襲行為，而是逐漸轉化為一種組織化、法律化、技術化的產業鏈運作。這些攻擊集團具備明確的角色分工，包括漏洞開發者、滲透者、資料竊取者、談判者與洗錢管道，甚至設有客服與 SLA（服務水準協議），以確保「贖金交易」順利完成。

更令人憂心的是，部分勒索集團已開始模仿合法企業的運作模式，設立網站、發布新聞稿、甚至提供「試閱資料」以施壓受害者。這種「企業化的犯罪組織」不僅提升了攻擊效率，也讓傳統資安防禦機制面臨前所未有的挑戰。

對企業而言，資安韌性不再只是防火牆與備份系統的問題，而是必須建立一套能夠應對「商業化攻擊」的治理架構，然而，我們看到華新科在此次事件當中，很明顯地無法處理類似的外部攻擊，筆者大致認為有幾項問題存在。

首先，揭露不一致，重訊未涵蓋實際受影響廠區，這種揭露落差反映出以下在資安通報制度上的斷層：

(1)重訊揭露偏向簡化，未具體說明受影響廠區與系統。
(2) 永續報告與年報補充揭露，但時間滯後，無法即時提供利害關係人風險判斷依據。
(3) 資訊一致性不足，可能造成外部誤判事件嚴重性與信任損耗。

其次，我們也看到華新科在永續報告書及股東會年報上，對於資安政策與管理制度，內容仍然偏向簡單說明的模式，並沒有提出數據化、策略面等等的說明，重要的通報程序，也未見其著墨太多，所以在其制度上可能存在極高的風險程度，對於公司整體來說，在資安韌性的表現上，明顯的偏弱。

因此，對於強化華新科的資訊韌性，筆者還是有以下四點的建議：

•	建立跨廠區資安通報標準作業程序（SOP），確保所有營運據點能同步通報與揭露；
•	推動資安事件後分析報告制度，釐清攻擊手法、弱點來源與制度改善方向；
•	將資安治理納入董事會監督與永續報告核心章節，提升治理層級與透明度；
•	強化資安文化內化機制，透過教育訓練與演練，建立即時通報與風險感知能力。

最後，要強化資訊韌性，是需要時間的，但只要開始就要持續強化，假設只是應付的心態，那之後可能會面臨無法承受的風險損失。

以上給大家做參考!