欣興電子(上市電子零組件;股票代號:3037)為全球領先的印刷電路板(PCB)與載板製造商,客戶涵蓋半導體、通訊與車用電子領域。其資訊系統承載大量製程參數、客戶訂單與供應鏈資料,資安韌性直接關係到全球交期履約與客戶信任。
根據報導,欣興大陸子公司聯能科技於2025年1月30日遭受勒索軟體攻擊,公司第一時間啟動應變機制,並與外部鑑識團隊合作進行事件分析與防禦。公司表示對聯能科技營運影響有限,並將持續強化網路與資訊基礎架構安全控管。
(1) 精誠資訊於114/02/01在公開資訊觀測站所發佈之重訊:
(2) 引用2025/02/03經濟日報新聞報導:https://money.udn.com/money/story/5612/8524272
欣興在事件發生後展現出初步制度韌性,包括:
• 即時啟動防禦機制:與外部資安團隊合作進行事件鑑識與防堵;
• 公開揭露影響範圍:雖未細述技術細節,但承認子公司系統遭攻擊;
• 承諾後續強化措施:表示將持續提升資安架構與控管能力。
欣興電子與大部分公司所發的重訊類似,大致上都認為對營運影響有限。
由於本次公告的對象是大陸子公司聯能科技,所以就看一下2025年股東會年報是否有針對子公司資安作揭露之情形:
(1) 2025年股東會年報有關資安事件揭露之情形:
(2) 2024年永續報告書之內容:
從以上兩個公開的資訊來看,欣興電子的資通安全的制度與企業文化上,已經是相當完整,且在資安事件發生之前,子公司已經提早導入ISO/IEC等外部認證,唯一就是未在本次股東會年報一起揭露2025年2月1日重訊所發生的子公司資安事件,然實際上已有充分揭露子公司資安政策
。
看完欣興電子所發布之重訊,基本上就是一般公發公司所發的制式的重訊內容,很難看出有何重點陳述。
但接著看完欣興電子的永續報告書後可以發現,筆者覺得公司對資安事件的揭露其實還蠻完整的,不僅說明了事件的發生與應變過程,也有表達道資安治理的精神。值得注意的是,旗下子公司聯能科技已導入 ISO 27001 資訊安全管理系統,顯示其在制度面還是具備一定的資安治理架構。
事實上,這次資安事件某種程度上也可視為導入 ISO 27001 後的一次「實戰測試」,檢驗子公司是否具備足夠的資訊韌性來面對外部攻擊的強度與複雜性。從事件應變過程來看,聯能科技雖遭受勒索軟體攻擊,但公司能即時啟動防禦機制、與外部鑑識團隊合作並完成初步復原,顯示其在制度設計與技術防禦上已有一定基礎。
當然,若要進一步強化資訊韌性,僅有 ISO 認證仍不足以應對日益組織化與商業化的攻擊模式
。企業應將資安治理提升至「資訊韌性的導向」,筆者針對欣興電子整理出以下之建議:
• 建立事件後分析報告制度,釐清攻擊手法與制度弱點;
• 強化跨境資安治理,確保母公司與子公司之間的通報與資訊的一致性;
• 將資安揭露納入永續報告核心章節,提升透明度與信任治理;
• 推動資安文化內化,讓資安不只是技術部門的責任,而是全員參與的治理工程。
此次欣興電子子公司聯能科技遭受勒索軟體攻擊事件,雖已在第一時間發布簡要說明,但截至目前為止,外界仍未獲得更深入的技術細節、復原進度或制度性檢討資訊。這種資訊揭露的不足,正是欣興電子在資安韌性上的一個缺口
。
根據現行法規,公發公司若在股東會通知日前30天內發生重大事件,是可以將該事件納入股東會年報中進行揭露與說明。從過往案例來看,部分企業確實依此規定,在年報中補充資安事件的處理進度與制度改善方向。然而,欣興電子在本次事件後的年報中,雖有提及子公司政策架構與資安治理原則,卻未見針對此次事件的後續處理、復原成效或制度反思的具體說明,令人感到可惜
。
這種「制度有揭露、事件無追蹤」的落差,反映出企業在資安治理上仍停留在架構層級
,若企業僅在永續報告或年報中列出資安政策,而未將實際事件納入治理回饋機制,將難以展現真正的資訊韌性。
不過,值得肯定的是,欣興電子仍在年報中揭露子公司資安政策與管理架構,顯示其對跨境治理與制度一致性具備基本意識。這一點對其他製造業企業而言,具有一定的參考價值,尤其在全球供應鏈日益複雜的背景下,母公司對子公司資安政策的整合與監督,已成為韌性治理不可或缺的一環。
未來,欣興若能在下一年度年報中補充此次事件的後續處理情形,包括技術復原、制度改善與文化內化進程,不僅能補足揭露落差,也能展現企業在面對資安挑戰時的誠信與成熟度。
以上給大家做參考!