“確實(shí)是我們的疏失！”，才剛接任臺積電總裁約兩個月的魏哲家6日在病毒感染機(jī)臺外對說明記者會上，坦言內(nèi)部作業(yè)疏失。擁有數(shù)萬臺機(jī)臺，晶圓廠遍及海內(nèi)外的臺積電，8月3日傍晚竟因?yàn)橐蛔鶛C(jī)臺感染W(wǎng)annaCry變種病毒不察，上線快速蔓延，導(dǎo)致正在作業(yè)晶圓停擺，機(jī)臺停機(jī)，損失高達(dá)1.7億美元。

這對“資安優(yōu)等生”臺積電而言，有點(diǎn)不堪想象。

平日資安滴水不漏的臺積電，連一個外來電子設(shè)備進(jìn)入廠區(qū)都嚴(yán)格把控，竟然會讓未經(jīng)隔離掃毒嚴(yán)查過的機(jī)臺直接上線，新機(jī)SOP check流程出現(xiàn)這么一個大漏洞。

臺積電的“休克”案例，足以讓國內(nèi)晶圓廠高度警戒，自危排查任何可能存在的資安風(fēng)險，包括中芯國際在內(nèi)晶圓廠都緊急啟動排查專案，確保此類“染毒”事件不會發(fā)生；此外，武漢、南京、成都、合肥、晉江等多地新建晶圓廠也以臺積電慘痛案例為鑒，要求move-in equipment排查可能安全漏洞與隱患。

可說，臺積電一休克，全球晶圓廠也跟著神經(jīng)緊繃。但反觀，已從暫時休克狀態(tài)中蘇醒的臺積電，沒說清的疑點(diǎn)還很多。

臺積電澄清？ 眾多疑點(diǎn)未解

1.臺積電三連發(fā)大動作澄清

從事發(fā)3日傍晚，臺積電緊急發(fā)布聲明，到5日再度發(fā)新聞稿說明損失情況與解決方案，接著6日對外召開媒體記者會，總裁魏哲家親自上火線說明，臺積電連日內(nèi)一連串動作針對同一事件，這種“不淡定”是臺積電在過去所沒有的，也代表此事確讓這個晶圓巨頭很“震動”。

這也代表臺積電將病毒感染事件，除了直接影響營運(yùn)市場股價，更對臺積電的對外形象與品牌誠信展開“危機(jī)公關(guān)”，市場上蔓延起所謂的競爭對手“陰謀論”，時機(jī)又正逢二代接班人剛上任，處于外界檢視考核這屆接班人運(yùn)營與危機(jī)處理能力的敏感階段。

所以親上火線說明的魏哲家，記者會上巧用一段“客戶trust臺積電”的話，望彌平外界疑慮，但事發(fā)已整整第三天，所有涉及高階主管對外真正的用意恐怕是傳遞給市場上更多客戶宣示臺積電的品質(zhì)把控未受影響，與即便遭受影響也在“可控的范圍”，好重拾外界對臺積電的信心。

但，事實(shí)真的如此嗎？

2.病毒潛藏機(jī)臺window7 來自哪家供應(yīng)商？只字未提

據(jù)臺積電說法，所有病毒感染，源自一座機(jī)臺，而這一座機(jī)臺操作系統(tǒng)是Window 7遭到WannaCry變種病毒感染。但難以想象的是，臺積電平日針對上千家供應(yīng)商，尤其作為設(shè)備與材料供應(yīng)商，往往經(jīng)過層層軟硬件與技術(shù)驗(yàn)證，居然在交付時，沒嚴(yán)格把控機(jī)臺安全，就讓臺積電可以上線使用。

WannaCry病毒并非近日才有，為何機(jī)臺在出廠時，供應(yīng)商沒有排查出來即交付給臺積電？這個供應(yīng)商是否同一批次也有交貨給其他晶圓廠？臺積電沒有對外說明。

這讓整個供應(yīng)鏈留下一個很大的謎題與不安隱患。

作為臺積電半導(dǎo)體生態(tài)圈領(lǐng)頭羊，資安與環(huán)安作為一直是臺積電視為企業(yè)社會責(zé)任重要一環(huán)。這不僅作為生態(tài)鏈巨頭，是否應(yīng)該適度向供應(yīng)鏈系統(tǒng)提出示警與解決方案參考？也是重要一分子的擔(dān)當(dāng)與責(zé)任。

3.為何人為操作，導(dǎo)致疏失？

更不可思議的，發(fā)生在機(jī)臺交付之后，擁有數(shù)萬臺設(shè)備的臺積電，竟然以人為操作進(jìn)行機(jī)臺的連線作業(yè)導(dǎo)致這次的不幸，正因沒有先隔離殺毒，擅自連線導(dǎo)致病毒蔓延。過去外界印象，臺積電代表著巨型晶圓廠高度自動化，都在這一次事件中“神話破滅”。為此人為環(huán)節(jié)疏失付出慘重的代價。

事實(shí)上，臺積電內(nèi)部，建立了一套完整的網(wǎng)路及電腦安全防護(hù)系統(tǒng)以控管或維持公司的制造，營運(yùn)及會計(jì)等重要運(yùn)作的功能，所幸這次的病毒并未“加密”，也并未棘手程度到深入竊得傷及臺積電機(jī)密數(shù)據(jù)，讓臺積電得以迅速排查出來，并將災(zāi)情控制住。

相較于魏哲家所言，對這次臺積電同仁的處理很滿意；臺積電的資安主管，則是一臉嚴(yán)肅，態(tài)度更為小心嚴(yán)謹(jǐn)，坦言在瞬息萬變的網(wǎng)路安全威脅中要承受推陳出新的病毒風(fēng)險和攻擊，是所有企業(yè)共同挑戰(zhàn)，當(dāng)然，臺積電也不能完全保證其電腦系統(tǒng)能完全避免來自任何第三方癱瘓系統(tǒng)的網(wǎng)路攻擊。

過去臺積電資安優(yōu)等生的成績單“破功”，甚至可能因中斷出貨而需賠償客戶損失，這個“資安污點(diǎn)”無可逃避的未來也將記在營運(yùn)年報(bào)內(nèi)，成為臺積電徹底檢視資安政策與補(bǔ)救舉措的重大教案。

4.其他機(jī)臺沒即時修正軟件/補(bǔ)丁？又一個可侵入窗口

值得注意的是，這次臺積電記者會中泄露了一個原本外界都不知道訊息，臺積電機(jī)臺內(nèi)Window7操作系統(tǒng)沒有適時進(jìn)行修正更新（打補(bǔ)?。?。

而事實(shí)上，WannaCry病毒并非今日才有，一出肆虐，微軟已經(jīng)祭出補(bǔ)丁方案；臺積電的說法卻是，這些機(jī)臺若要安裝修正軟件，需要停機(jī)重啟，對于臺積電而言，“時間就是金錢”產(chǎn)線停擺似乎是不容許的（或者代價過高？），所以武斷的講，并未完全落實(shí)？

強(qiáng)大如臺積電，理應(yīng)與軟硬件供貨商有更深度協(xié)同的合作，卻無法令其操作平臺實(shí)時更新與維護(hù)，事發(fā)過后，未來找適當(dāng)時機(jī)，才能將這些機(jī)臺更新進(jìn)一步修正。中間的被動性與缺乏敏捷僵化，暴露無疑。

此偶發(fā)事件，已足以給臺積電一個教訓(xùn)，但豈不是昭告天下自曝其短，給了“魔鬼”鉆漏洞的條件？

一般來說晶圓廠都有安排在出貨淡季“歲修”，借機(jī)維修與更新機(jī)臺設(shè)備，此時爆發(fā)對臺積電而言，正巧是下半年追趕出貨的旺季，時間點(diǎn)可說非?！皩擂巍?。

5.為何如此“自信”沒有內(nèi)神通外鬼？

令外界疑惑的是，臺積電徹查此事宣布已經(jīng)找到原因與錯誤過程，但是唯一的元兇只有“病毒”，卻沒有說明出事的部門，沒有說明廠家與來源，但卻能自信滿滿地指出不是外在駭客攻擊，也沒有“內(nèi)鬼”，這一股自信哪里來？留下外界許多疑惑。

臺積電機(jī)密資訊保護(hù)（Proprietary Information Protection, PIP）政策嚴(yán)格把關(guān)，上至對上千家供應(yīng)商都進(jìn)行PIP訓(xùn)練，下至近5萬名員工遵循嚴(yán)格PIP規(guī)范，小到基本門禁安全與識別證使用細(xì)節(jié)，到電子郵件外寄權(quán)限與文件打印控管，以及電腦設(shè)備與網(wǎng)路使用，每個月還進(jìn)行超過200萬人次的PIP稽查，在這種情況下員工PIP違規(guī)率維持1%左右。

1%漏洞，百密一疏，這堂課，可說臺積電付的真貴！而其他晶圓廠，引以為鑒更不能心存僥幸。