近年半導體產業成全球關切焦點,任何一點風吹草動都受到各界關注,今年2月6日美國半導體設備商萬機科技(MKS Instruments)揭露遭遇勒索軟體攻擊,相隔一週,美國半導體製程設備與服務大廠應用材料(Applied Materials)恰巧發布第一季財報,因預估下季出貨與營收,將受一家主要供應商遭遇資安事件而影響,而引發外界聯想。這也使得半導體供應鏈風險的議題,再次浮上檯面。

MKS在2月初揭露資安事故,一周後公布更多調查結果

MKS Instruments(以下簡稱MKS)是在2月6日揭露遭遇勒索軟體的資安事故。根據該公司網站投資人專區中所公開的內容,他們對美國證券交易委員會(SEC)提交了陳述重大事件的8-K表格文件,當中說明他們是在2月3日成為勒索軟體事件的受害者,發現事故時已立即採取行動,啟動事件回應與營運持續管理,聘請專業IR人員協助調查,通報執法單位。

同時,他們也說明了初步現況。目前正處於調查與評估該事件的影響的早期階段,某些業務系統受到影響,當中還包含了生產相關的系統。而後續因應上,他們將盡快調查與恢復受影響的系統,也說明資安保險可能抵銷部分成本,但尚未確定。

一周之後,MKS於13日公開向SEC提交的另一份重大事件8-K表格,揭露了更多關於上述資安事件的後續消息。MKS指出這次勒索軟體攻擊的衝擊,涵蓋了他們向為戶提供服務的真空解決方案(Vacuum Solutions)與光子解決方案(Photonics Solutions)的部門,並影響該公司第一季的訂單處理、產品運送。至於材料解決方案(Materials Solutions)的部門則不受影響。

同時MKS還表示,將延後去年第四季與全年財報的發布時間,以更好對應勒索軟體攻擊事件帶來的財務影響。

到了2月16日,美國蒙大拿州司法院公布一份由MKS發布的資料外洩公告,也透露了相關狀況。當中指出,最近的勒索軟體攻擊事件,導致MKS的業務與生產製造系統被加密而無法使用,同時可能還涉及了員工與前員工個資外洩的狀況。雖然目前尚未確認是否外洩,但他們並不排除這樣的可能性,因此他們正在通知這些員工。儘管MKS認為,從過去類似案例來看,勒索軟體攻擊者似乎避免針對個人使用這些個資。

至於MKS Instruments的公司網站首頁,我們在20日連上時只看到簡單的聲明頁面,說明www.mks.com遇到計畫之外的中斷,僅留下全球據點的電子郵件與電話聯絡方式,包括全球、歐洲、英國、中國、日本、韓國、新加坡與臺灣。

應材表示因主要供應商遭遇資安事件,導致影響下季出貨與營收

特別的是,在2月16日,美國半導體製程設備與服務大廠應用材料(簡稱應材)發布會計年度第一季財報,由於當中提到與其合作的供應商,最近發生網路安全事件,將影響應材第二季出貨,估計該季營收將減少2.5億美元,此消息一出,引發半導體與資安界關注。

雖然應材未透露哪一家供應商遇駭,不過,威脅情資業者Recorded Future旗下The Record的報導指出,有數位產業分析師表示,這家遭勒索軟體攻擊的供應商,就是主要客戶為應材與Lam Research的MKS,多家財經、資安媒體報導也提到該供應商是MKS,綜合上述,外界也因此感受到供應鏈的風險與資安威脅。

例如,Malwarebytes資安研究人員就對此事件發表了看法,他們指出應材的情形就是供應鏈被感染風險所帶來的效應,即使自身系統沒有被感染,但如果你的供應商受到攻擊,也會影響到自己的財務,而且,以半導體晶片產業的零組件短缺情形而言,現在正是近年最嚴重的時機。

換言之,這次事件突顯了一種我們無法忽視的產業影響,雖然大型企業日益善於強化自身資安,但是,身處供應鏈中的供應商,一旦遭遇資安事件,受衝擊的對象不只是那些廠商,就連公司自身營運也連帶遭到波及,甚至產生長期的影響,畢竟半導體領域的供應鏈可說是相當複雜。

對於臺灣半導體業而言,此事當然不能輕忽。國內已有業者越來越重視這方面威脅,像是台積電不只顧好自身的資安防護,他們在2020年開始設立供應商資訊安全協會,希望也能促進供應商與合作夥伴強化資安,與供應鏈合作提升安全防護,,但對於其他領域的業者而言,同樣要重視供應鏈的隱憂與風險,因為上述事件與衝擊很有可能在其他產業重演。

美國半導體製程設備與服務大廠應用材料在2月16日,發布了會計年度第一季財報,在提及下季展望時,特別指出最近有一家主要供應商發生資安事件,預估會衝擊出貨量與營收。

 

國內企業資安事件的資訊公開,往往事件揭露僅停留在早期階段,該積極面對還是消極面對?

另一值得國內省思的議題,國際間有越來越多像是MKS這樣的企業,公開說明資安事件的具體概況與影響。例如,他們在3日即時通報美國SEC並於6日公開揭露發生勒索軟體攻擊的資安事件,也清楚說明當時處於調查的早期階段,後續他們會進一步揭露更多資訊與細節,包括事件具體影響的範圍,甚至還發布個人資料外洩公告與通知。畢竟事件調查需要的時間,可能隨嚴重程度而有不同。

至於國內,儘管我國金管會在資訊公開面向近年開始有規範,上市櫃公司需揭露重大資安事件,甚至預估損失金額達股本20%或3億元,必須召開記者說明,且年報也要登載。

但從普遍現況來看,上市櫃公司在揭露資安事件後,一兩個月內通常也就不再發布事件後續調查結果的公告或重大訊息,使得公開資訊僅停留在最早期的階段,缺乏調查到一個段落的公開說明。因此,從公司治理的資訊公開角度來看,不論政府主管機關與企業本身,都應思考是否還有進步的空間。

 

萬機科技(MKS Instruments)在2月6日揭露遭遇勒索軟體攻擊,並公開在3日提交美國證券交易委員會(SEC)的重大事件的8-K表格文件(圖左),說明正處於調查與評估該事件的影響的早期階段,業務系統受影響,並包含生產相關的系統。到了2月13日,他們又進一步通報與揭露新的調查結果,包括具體影響的部門與營運情形。

熱門新聞

Advertisement