台積電病毒之亂曝露了台灣企業面臨的三大危機

企業動態

台積電產值占台灣GDP4%,因此台積電營運上的任何風吹草動,都會被以國安層級視之。(攝影/黃威彬)

上個周末台灣的IT界恐怕都睡不安穩。上周五(8月3日)晚間,台積電三座廠,包含竹科晶圓12廠、中科晶圓15廠與南科晶圓14廠,不可思議地相繼遭到病毒感染以致部分產線停工。儘管公司表示損失不大,可是台積電是台灣股市市值最大的公司,全球市占率和競爭力也都獨占鰲頭,產值占台灣GDP 4%,因此將台積電營運上的任何風吹草動,以國安層級視之都不為過。雖然根據台積電周日發布的重訊,至周一上班日將可全部恢復生產,但仍造成許多外資法人這個周末都繃緊神經。 

台積電總裁魏哲家在周一(6日)親上火線,在證交所召開原本沒有計畫要召開的召開重大訊息記者會,說明病毒感染事件的始末。魏哲家多次強調,病毒感染不是遭到駭客攻擊,而是內部人員因新機台安裝軟體過程中操作失誤,並未將該機台於連結網路前先隔離確保無病毒,造成病毒進入公司網路。 

台積電股價周一、周二兩天最大跌幅才1.6%,顯見台股投資人對台積電的危機處理能力似乎尚具信心,然而從這次染毒事故卻可窺見,台積電在全方位掌握公司的運作,在某些環節出現鬆動或輕忽了管理細節的跡象。尤其在經營階層交替轉換之際,出現這種前所未有的疏失,的確讓人憂心。

綜觀台積電的網路安全事故 ,可以分為幾項檢討重點,包含:危機管理、網路風險管理,以至更高層次的公司治理,都還有再加強的空間。

1、危機管理

在對外資訊揭露上,台積電這次的反應實在稱不上妥適。當中國科技網站對台積電病毒感染事件都有了詳細的報導(如DeepTech深科技),反觀台灣僅有少數媒體以4日下午近3點半台積電發布116字的重訊內容為報導主軸,有著台灣企業一貫大事化小、小事化無的輕忽態度。 
 有媒體指稱,台積電還是在證交所上市部的要求下,才在公開資訊觀測站輸入重大訊息。台積電原本認為事件預估損失不大,沒打算開重訊記者會;或許發現事態比原先預期的嚴重,外界對病毒感染也有愈來愈多的揣測,才決定在周一下午召開重訊記者會,甚至由罕見地由總裁親自說明。 

事件爆發之初,或許恢復機台產線、與客戶聯繫是當下要務,但疏於積極對外說明,傳遞正確即時的資訊,對IR(投資人關係)的著力,尤其是廣大資訊取得相對弱勢的小股東,顯然還有再努力的空間。總體而論,相關人員並未認知到台積電在台灣所享有的尊榮和影響力,以及相對應的企業社會責任。 

2、網路風險管理 

根據2018年的世界經濟論壇中,網路風險排名全球第三,安聯集團(Allianz)2018全球十大經營風險調查,網路事故排名第二;中華信評在台灣的風險調查中,網路風險排名第三。所謂網路風險,包括網路犯罪、IT失誤、資料外洩等。這次台積電病毒感染事件恰好凸顯,即便是國內外頂尖企業,也不得不提防網路事故,以及進一步造成營運中斷的風險。 

提到風險,相對應的保險意識也必須加強。根據保發中心的資料,台灣今年前五個月與資安相關保險的投保件數有33件,保費2811萬元;撇開一百多萬家的中小企業,單就一千七、八百家上市上櫃公司來看,占比只有2%。企業透過資安險的投保及核保機制,包含:分析、測試、改進、量化,可進一步轉移內部風險,但從目前的投保件數及金額來看,顯然台灣企業的風險意識還有很大的加強空間。 

3、公司治理 

除了透過保險分攤資安風險以及營運中斷可能的損失外,企業內部風險管理的層級也有提升的必要。一般企業將資安放在資訊部門裡,資訊部門職司企業平時的正常營運,但是網路攻擊、勒贖、駭客等事故愈見頻繁,甚至已成為部分企業的常態。企業需要打破組織單位的思維,視網路風險為企業風險管理的一環,將資安風險管理提升至執行長、甚至董事會的層級,才能以更全面的視野,提升組織整體員工風險意識,定期風險管理教育,傳遞並落實資安的觀念和紀律,並透過不斷的演練,才是台灣指標型企業應該有的作為。