iT邦幫忙

2025 iThome 鐵人賽

DAY 20
1
Security

企業資訊韌性實例分析系列 第 20

DAY 20 資訊韌性實例分析19— 精誠(上市資訊服務;股票代號:6214)

  • 分享至 

  • xImage
  •  

一、企業背景與產業環境

精誠資訊(上市資訊服務;股票代號:6214)為台灣最大資訊系統整合商,客戶涵蓋航空、金融、製造與政府機關,每日處理大量機敏資料與系統權限。根據報導,精誠近期遭駭客攻擊並勒索,該事件震撼業界。

二、資訊韌性切入角度

(1) 精誠資訊於114/03/31在公開資訊觀測站所發佈之重訊:
https://ithelp.ithome.com.tw/upload/images/20251004/201074824sdcFWV6NY.jpg

(2) 引用2025/07/02周刊王CTWANT新聞網報導:https://tw.news.yahoo.com/share/b62b71f5-f8f2-3b68-a803-9eae341c9f50

三、韌性策略與實際狀況

精誠在接獲匿名勒索信後,立即啟動資安應變機制並向法務部調查局報案,並委託國際資安公司進行調查。初步結果顯示:

•	未發現個資外洩;
•	未發現可能造成客戶損害的情事;
•	公司已強化防禦並持續監控。

這些作為顯示精誠具備基本的制度韌性與應變能力,但揭露內容仍偏向「無損害」的防禦性敘述,未見事件後制度檢討與改善計畫。

四、制度與文化支撐

由於精誠資訊本身從事資通安全相關的業務,因此,企業制度與文化本身就以資訊安全為導向,以下主要看該公司對於114/03月在114年股東會年報上揭露的情況以及公司在2024年永續報告書上所揭露的外部資安評級的成果。

(1) 2025年股東會年報有關資安事件揭露之情形:
https://ithelp.ithome.com.tw/upload/images/20251004/20107482paSq1ItgUP.jpg

(2) 2024年永續報告書之內容:
https://ithelp.ithome.com.tw/upload/images/20251004/20107482CEB5c1Vlit.jpg

從以上兩項資訊揭露來看,雖精誠已在股東會年報揭露並強調對營運尚無重大影響,但在揭露層面似乎仍有待強化,尤其對於資安評鑑A級以上的公司,應該有更詳細的說明與後續的檢討才對

五、筆者看法及觀點

精誠資訊本身在資安領域已是台灣產業的領頭羊之一,長期提供政府、金融與大型企業的資安整合服務,理應具備高度的風險意識與制度韌性。然而,此次資安事件的揭露與後續處理卻未見相應的成熟度,令人質疑其是否真正具備承受資訊韌性挑戰的能力

從公司發布的重大訊息來看,內容僅止於「未發現個資外洩」、「未造成客戶損害」,並強調已報案與啟動防禦機制,但對於攻擊手法、弱點分析、系統復原進度與制度改善方向皆未著墨。

更令人憂心的是,在其股東會年報與永續報告書中,亦未見針對此次事件的制度性檢討或揭露通報流程的強化說明,顯示資安治理似乎不像一家A級資安公司該有的水準。

這種「技術強、治理弱」的落差,反映出資安產業本身也可能陷入「防禦者盲點」即便具備技術能力,若缺乏制度透明度與文化韌性,仍可能在危機中失去信任。我們一直再強調,尤其對於一家資安服務商而言,資訊揭露不只是合規責任,更是對客戶、供應鏈與社會的誠信承諾。

此外,我們從像CTWANT等等的報導來看,此次事件凸顯出資安防守者本身成為攻擊目標的風險結構:

(1) 高價值中介者風險:資安服務商掌握大量客戶機密與系統權限,一旦遭駭,可能成為「多家企業的後門」;
(2) 橫向滲透風險:駭客可藉由掌握資安商的存取權限,進一步滲透至其客戶系統;
(3) 資料價值高度商業化:報導指出,企業內部財報、技術文件、客戶名單等在暗網交易價格可達數千至數萬美元,顯示攻擊動機已高度經濟化。

總合以上內容,若精誠資訊未能在事件後建立事件分析報告制度、強化通報流程、納入董事會監督與永續治理架構,將難以在下一次風險來臨時展現真正的韌性。

以上給大家做參考!


上一篇
DAY 19 資訊韌性實例分析18— 華新科(上市電子零組件;股票代號:2492)
下一篇
DAY 21 資訊韌性實例分析20— 欣興(上市電子零組件;股票代號:3037)
系列文
企業資訊韌性實例分析21
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言