网络攻击近年愈来愈猖獗,金融、零售厂商屡屡受害,制造业也无法幸免。纽约时报 21 日以台积电 8 月遭病毒感染为例报导,恶意软件可能造成产线停摆,许多厂商却轻忽风险。
今年 8 月,晶圆代工厂台积电工程师安装新机台时,未在机台连接网络前加以隔离,确保无病毒,导致机台感染的勒索软件 WannaCry 变种病毒入侵公司网络。报导说,制造业低估资安风险,台积电学到惨痛教训。
台积电总裁暨副董事长魏哲家当时在记者会驳斥谣言,指台积电未遭骇客攻击,他坦承此事是台积电“自身疏失造成”。
幸运的是,台积电只花几天就全面恢复正常运作,原本预估第 3 季营收恐因病毒感染折损 2%,结果未受影响。台积电企业讯息处资深处长孙又文透过电邮向纽时表示,这是因台积电及时完成部分延迟订单,“其他领域需求增加”也有助抵消损失。
默克药厂(Merck & Co.)与食品大厂亿滋国际(Mondelez International)就没这么幸运了。两家公司去年遭勒索软件 NotPetya 攻击,损失惨重,但在申报文件避谈营运受影响的细节。
根据亿滋递交美国证券管理委员会(SEC)年报,NotPetya 攻击对亿滋的全球业务、经销及财务网络影响甚钜,净损失虽然只占亿滋全球营收 259 亿美元不到 1%,仍达 1.036 亿美元(约新台币 31.8 亿元)。
默克在申报文件中表示,NotPetya 攻击扰乱默克的全球制造、研究和业务运作,导致去年营收流失 2.6 亿美元,预估今年营收将再折损 2 亿美元。若扣除保险给付,默克为此付出 2.85 亿美元(约新台币 87.9 亿元)成本。
报导指出,骇客一般锁定可转卖牟利的个人资料,制造业面临的风险没那么高,但不法分子的动机已变得更复杂。有些骇客利用恶意软件向系统运作停摆的企业勒索,想拿到加密货币,有些则试图窃取知识产权,包括专利资讯、配方和设计蓝图。
人工智能应用平台供应商 C3 创办人希伯(Thomas Siebel)直言,制造业面对资安威胁的态度轻忽。
即使有教育训练和专家警告,许多厂商员工仍随意开启可能扰乱公司运作的钓鱼邮件。随着骇客手法愈来愈高明,物联网(IoT)技术蓬勃发展,网络攻击的潜在危害不容忽视。
电子元件厂商新美亚(Sanmina)资深副总裁巴特尔(Manesh Patel)表示,许多资讯科技(IT)公司与同业因彼此竞争,在制造层面比较不会互通讯息,但他认为应有一套凌驾于竞争关系的资安措施。
除了加强资安投资,巴特尔也建议企业网络分段(segmenting),让厂商能在不影响系统其他部分的情况下固定更新设备。另一种途径是采用白名单(whitelisting),因为以黑名单防范已知病毒太被动,指定可在电脑系统执行的应用软件,更能有效防毒。
(作者:尹俊杰;首图来源:Flickr/Christiaan Colen CC BY 2.0)
