2018年8月3日晚間,陸續傳出台積電部分生產設備遭到病毒感染,導致竹科園區的Fab 12廠、中科園區的Fab 15廠以及南科園區的Fab 14廠部分產線機台相繼 停擺。 台積電在當日晚間即對外坦言,即便過往不乏病毒攻擊的經驗,但此次病毒感染而導致產線機台停擺卻是首次。 隨後陸續由官方正式發布處理進度聲明, 強調該公司已控制此次病毒感染範圍,並逐步解決中。至8月5日,官方公告已有八成受影響的機台恢復正常, 直到8月6日,所有受影響的產業機台正式全面復原 並可正常運作。
在台積電陸續發布的重大訊息中稱,該事件發生原因,來自於「新機台在安裝軟體的過程中操作失誤」 ,表示病毒是趁著新機台連接到台積電內部電腦網路 時,所造成的病毒擴散,進而接連影響北中南三大廠區的機台,導致部分產線機台停擺運作。
從此次受影響廠區觀察,其7nm製程產線短期受到不小的影響,根據台積電官方預估,此次病毒感染事件將導致其晶圓出貨延遲以及成本增加,對台積電 2018年第三季營收影響約落在3%之譜,影響的毛利率接近1個百分點。
事實上,類似台積電這樣大型工業產品製造企業,其生產機台網路與一般企業行政使用網路均採取實體隔離對策;此外對於系統所需要的軟體更新,更是必 須要經過層層把關、安全確認,最後由內部人員攜入確認安全無虞的實體USB或光碟,進行更新程序。 此次事件,台積電表述是因為新機台安裝軟體時的失誤造成,意即是針對新機台欲置入內部網路時,可能未根據標準安全檢測程序,就將新機台接入內網中, 進而給予有病毒感染的機台軟體擴散的機會,陸續造成不同廠區的機台受到感染。
2017年10月,日本NAND Flash大廠東芝傳出其晶圓廠遭到勒索病毒攻擊,導 致生產線臨時停工數周,一度攪亂國際NAND Flash市場一池春水。
事實上,近年從伊朗的核電設施遭到駭客攻擊、烏克蘭電網受攻擊停擺運作 等事件的發生,到這次台積電晶圓廠的病毒感染事件,可觀察到傳統工控場域的 大型資安危害事件有逐步升溫的態勢,亦是近年各國陸續從法律高規格切入,立 法要求並確保關鍵基礎設施(Critical Infrastructure,CI)的資安防護等級,降低 可能影響國家安全、社會運作穩定的大型資安攻擊事件發生機率。
攻擊風向朝經濟利益轉變
從市場角度觀察,近年黑色產業鏈崛起,資安危害事件不再只是個別駭客彰 顯技術能力的結果,逐步朝向獲取各項經濟利益為目標的團隊攻擊活動。 首先是透過入侵目標企業竊取商業機密,近年國際商業競爭環境日益劇烈, 不乏透過網路間諜或駭客組織力量,鎖定特定企業進行入侵攻擊,旨在取得關鍵 商業機密,以打擊企業活動。過往兩年,美中兩大強國在論及商業貿易競爭時, 即相互指責對方利用類似駭客力量,伺機竊取兩國重要的大型企業商業機密,達 到不公平競爭的目的。
其次是勒索軟體肆虐,2017年中的WannaCry想哭病毒肆虐全球記憶猶新,隨 後更陸續延伸出諸多其變種後代。此次台積電事件,亦有傳言是受到類似變種勒索 病毒襲擊所致。不論傳言為何,均顯示隨著比特幣等虛擬貨幣的流通日益便利,打 開贖金支付的最後一哩路之後,勒索病毒事件只會變本加厲,而付得起贖金的企 業更是駭客眼中的肥羊。
最後則是金融市場操作,在實體世界與虛擬世界間的互聯程度日益升高的情 況下,彼此間連動性只會更強。目前雖無法確認台積電病毒感染事件是否為針對 性的事件,然假設這是一起刻意安排的攻擊,其目的難道只是短暫停擺其生產設 施而已。或許,只是一起聲東擊西的活動,對方真正目的可能直指金融市場的變 化。意圖透過事件影響台積電的商譽,造成國際金融市場或是半導體產業的短暫 恐慌,達到利用金融工具獲利的真正目的。
結構問題導致安全破口更多
近年來,面對國際商業環境的競爭劇烈,企業也積極提升工廠環境的資通訊 基礎能力,朝工業4.0/智慧工廠的階段邁進。隨著資訊網路通訊技術愈來愈多被 應用至工業領域,工業控制系統也從過往封閉運作環境,逐步與企業內部網路、 網際網路相互連結,甚至進一步已經整合至整體的企業網路架構內。在連結透通 性逐步升高的情況下,傳統上工業控制系統所仰賴的實體封閉性已不復存在,外 界將可透過網際網路或企業內網獲取相關工業控制系統的資訊,甚或掌握工業控 制系統的控制權。加上過往工業控制系統的封閉與專屬特性,形成營運單位對其 資訊安全的防護意識與作為的疏忽,自然為各種潛在的入侵危害創造可乘之機。
其次則是企業對於採用公有雲端服務比例日益增加,形成日趨複雜化的混合 架構;加上不少企業開始將更多重要資訊應用建構在虛擬化環境、或容器環境中, 其迥異於以往傳統IT建置環境,不同環境間的系統連結與頻繁的資料流動,均可 能潛藏未知的漏洞。
制度完備但員工行為難料
台積電在資安防護與投資方面,絕對是業界一等一的模範,其生產機台網路 的實體隔離,對於小型裝置設備諸如USB的使用管控更不在話下,卻仍難以避免這 次的病毒感染事件。
對於如台積電這樣的標竿業者,相信其在軟體更新、系統使用、網路連結乃 至於設備接入等可能發生安全危害的關鍵點上,絕對有完備的資安檢測規範與制 度,然實際作業的人員,倘一念之間便宜行事,縱有再完善的防護體系也是枉然。
數年前企業曾一度流行所謂BYOD(Bring Your Own Device),近期影子IT (Shadow IT)議題亦備受資安領域關注。不論BYOD或是影子IT均顯示出,企業 員工常會基於自身便利使然,在企業內部使用未經授權管理的裝置作業,或是使 用非正規辦公室作業軟體完成業務活動,卻導致企業面臨潛在的資安危害。
傳統上對於資安危害的防護,諸如防火牆、入侵偵測等,均從外部入侵角度 思考;然近年諸多國內外大型企業資安危害事件,不論是SONY的資料外洩或是 此次台積電系統停擺,均直指因內網安全的不周延所導致。顯見面對未來的企業 資安防護,不僅需要內外兼備;甚至對於內部網路的安全防護,更要多從人性角 度出發,秉持不信任的態度,方能降低人為失誤的因素。