一、企業背景與產業環境

美利達（上市運動休閒；股票代號：9914），目前是台灣第二大自行車製造商，早期以代工為主，後來積極發展自有品牌「MERIDA」，並成功打入歐洲、美洲與亞洲市場。公司品牌價值在 Interbrand 台灣國際品牌評鑑中名列前十。

二、資訊韌性切入角度

(1) 美利達於113/10/21在公開資訊觀測站所發佈之重訊：

(2) 美利達於114股東會年報所揭露之內容：

三、韌性策略與實際狀況

美利達在事件處理上展現出以下資訊韌性特徵：

• 快速停用異常帳號，阻斷釣魚郵件擴散；
• 主動通知受影響使用者與全體員工，展現通報透明度；
• 將事件納入資安講習教材，強化文化內化；
• 推動高強度密碼原則與多因子驗證（MFA），提升帳號安全性。

這些措施顯示公司已具備制度化的帳號安全管理與事件反饋機制。

四、制度與文化支撐

美利達在資安政策面的著墨並不多，主要還是敘述性質，缺少量化的數據以及改善重點。同時，在2024年永續報告書內，也沒提到資安政策，就本次事件來說，公司主要還是偏向遇到問題之後，才進行處理，雖有提及改善方式，但仍未達公司全面性資安韌性的提升。

五、筆者看法及觀點

美利達的資訊韌性狀況，其實是不太完備的，尤其在年報當中，對於「通報」政策也未見其納入資通安全管理內。這種現象普遍存在於較傳統的製造業當中，畢竟公司會認為，資安事件若未造成明顯財務損失或生產中斷，則不屬於「重大營運風險」，無需對外揭露或制度化通報。

然而，這種「影響即風險」的思維，忽略了資訊韌性本質上是預防性治理與信任維護工程。當企業將資安事件視為「技術部門內部處理即可」的事項，往往導致下列四點問題：

•	通報流程缺乏制度化，仰賴個人判斷與臨場反應；
•	事件處理無法形成組織記憶，難以累積改善經驗；
•	外部利害關係人（如供應商、客戶、股東）無法即時掌握風險狀況；
•	公司治理層級未能納入資安風險評估，形成制度斷層。

尤其在製造業逐漸導入智慧工廠、遠端維護與跨境協作的背景下，資訊系統已深度嵌入營運核心，資安事件的影響不再只是IT部門的問題，而是整體營運韌性的挑戰。

當然，如果單就本次事件而言，該事件凸顯出企業在帳號安全上是有相當高的潛在風險，我們整理以下三點：

•	弱密碼仍為常見攻擊入口：若未強制密碼複雜度與定期更新，帳號易遭暴力破解；
•	釣魚郵件冒名風險高：員工信任鏈被利用，可能造成內部誤信與外部損害；
•	帳號異常偵測機制尚待強化：若能提前偵測異常登入行為，可更早阻斷攻擊。

有關於弱密碼的問題，傳統資安是會一直強調「密碼強化」觀念，但現代攻擊早已繞過密碼本身，改以社交工程、憑證竊取、API濫用等方式滲透。我們看到上述第二點，釣魚郵件的手法，其實就是可以完全繞過密碼本身的一個社交攻擊方式。

當然，目前有所謂「身分韌性設計」（Identity Resilience Design）觀念存在，身份認證的設計是資安治理中一個日益重要的策略架構，尤其在帳號被攻擊時，它不僅是防止帳號被盜用，更是確保整個身分驗證、授權與行為監控系統具備持續運作、即時偵測與快速復原的能力。

(上述身分韌性設計內容，主要參考2023年09月資策會科技法律研究所阮韻蒨副法律研究員所整理之「澳洲發布國家身分韌性戰略」，連結網址：https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9053 )，對於這種觀念的提升，是有助於資訊韌性的回復能力的。

以上給大家做參考!