iThome
最近看到好多上市櫃公司遭遇網路攻擊的新聞!國內頻頻傳出企業發生資安事件,持續引起企業與民眾的廣泛關注。
今年才剛開始,1月就有3家上市公司(京鼎、恩德、柏文)公告資安事件重大訊息,並且發生在同一個星期之內,到了2月,又有6家公司(美琪瑪、富野、瑩碩生技、建準、昶昕、中華電)公告發生資安相關事件。
事實上,臺灣企業在2023年公開的資安事故確實是增加的,尤其是下半年事件揭露相當密集。根據今年初我們進行回顧,發現過去一年,共有17起遭網路攻擊的資安事件重大訊息,而且還有其他6起與資安事件相關。
這樣的結果,並不只是反映臺灣企業所面對的資安態勢,日益嚴峻,更重要的意義在於,近3年前證交所對於重大訊息處理程序的修訂,促使越來越多上市櫃公司公開重大資安事件的相關資訊,讓投資人進一步了解企業經營狀況,也讓國人更了解資安風險。
有了上市櫃公司的示範,也間接促進更多企業與組織,願意主動公開他們面臨的資安危機,讓臺灣遭受網路攻擊的情況,能夠更真實地反映出來。而非許多資安事件只有資安業界知道,但因為這些受害公司擔心家醜外揚而不願意公開這方面的資訊,導致大家都不夠了解威脅的嚴重性。
資安透明度提升之餘,雖然上市櫃公司揭露的狀況大多相當簡單扼要,但從這些揭露當中,我們還是找出一些值得大家關注的關鍵資訊。
首先,隨著企業更願意開誠布公、坦承資安事故,再加上國內外加速推動數位轉型、遭受惡意軟體與駭客攻擊的範圍持續擴大、地緣政治引發的衝突等因素,使得臺灣上市櫃公司資安事件公告的數量,比起2021年與2022年明顯增加,不僅受害的產業相當廣泛,發生資安事故的中小企業明顯變多。
單是發布遭網路攻擊重大訊息的公司,過去一年內就有17家
過去一年以來,有多少上市櫃公司發布資安事件相關的重大訊息?根據各公司在臺灣證券交易所(證交所)與證券櫃檯買賣中心(櫃買中心)揭露的資訊來看,至少有17起遭網路攻擊的資安事件重大訊息公告。
在這些重大訊息的標題,都明確說明他們遭遇網路攻擊事件,以個別公司而言,2月有飛宏,3月有宏致、立德,4月有微星、金鼎科,6月有環天科,7月有中華、大樹,8月有日馳,10月有諾貝兒、羅昇,11月有中華化、雄獅、中石化、大江。
母公司代替集團子公司公告資安重訊的有2家,例如,3月,鋼聯代表旗下的台鋼資源發布;5月正新代表旗下Cheng Shin Rubber USA發布。
值得注意的是,關於2023年資安事件相關的重大訊息,並非只有這17起,在我們統整相關資訊時,發現還有6起重大訊息的發布,其內容是回應與個資曝險或個資及資料外洩相關事件,只是單看該則重大訊息的標題,可能無法得知與資安事件有關。
因此,以2023年全年而言,我們找到至少有23起資安事件相關的重大訊息。
網攻威脅重訊2023下半年頻傳,經常出現密集事件公告
以上市櫃公司遭網路攻擊的情況來看,在2023年17起事件中,我們可看出,2023下半的態勢最值得關注。
這是因為上半年受害的產業,多是科技業與電子零組件,到了下半年受害產業類型大增,遍及多種傳統產業,涵蓋藥局、汽車、自行車、觀光、化學、塑膠、生技等。
而且,有同產業接連遇害的情況。例如,7月底,「大樹醫藥」公告遭遇網路攻擊事件,到了10月初,擁有丁丁連鎖藥局的「諾貝兒寶貝」,也公告遭網路攻擊。
11月下旬由於資安事件重訊發布得相當密集,更是引發關注。例如,首度出現一日有兩家公司揭露遭遇網路攻擊事件,包括:旅遊業「雄獅」、塑膠工業「中石化」,甚至在同一星期,還有生技業「大江」也揭露遭駭。
資安重訊呈現的資安事故只是冰山一角!實際遇害數量更多
綜觀上述資安事件重大訊息的發布,確實讓企業與外界感受到,2023網路攻擊威脅的日益升溫,但臺灣企業遭受網路攻擊的嚴重程度,是否真有如此這般嚴峻?
過去企業資安威脅看似不普遍,先前他們遭遇網路攻擊,多半是態勢嚴重而被民眾揭露才曝光,但近兩年來,政府要求上市櫃公司的資安事件揭露,使得更多事件浮出檯面,不一定代表整體威脅總量的增加。
2023年的臺灣資安威脅態勢是否惡化?曾協助處理許多企業資安事故的資安業者趨勢科技,提出他們的看法,該公司台灣區暨香港區總經理洪偉淦指出,對比2023年上市櫃公司重訊發布數量來看,企業資安遭駭的數量成長幅度,其實並沒有特別高,但事件總量確實有稍微提升,原因在於,去年有更多攻擊是針對防禦較弱的中小企業而來。
具體而言,2023年的攻擊態勢確實高於2022年,就他們經手的事件來看,事件數量大概多了3成的比例,若與資安威脅相當嚴峻的2021年相比,2023年則是略微提升。
為何有這樣的變化?洪偉淦進一步解釋,這幾年的網路攻擊,尤其是勒索軟體攻擊,正處於型態轉變的時期。
以2021年的攻擊而言,通常都是大型駭客集團發起,其攻擊目標也多是相當知名的企業,使用的手法通常比較精進,也會要求很高的贖金。
然而,在2021年勒索軟體肆虐的情況下,全球執法機構開始加強合作,以打擊網路犯罪活動。因此,2022年成為攻擊者轉型的時刻,許多駭客組織開始轉向勒索軟體即服務(RaaS,Ransomware as a Service)的模式,也就是攻擊者提供平臺或服務,讓其結盟夥伴以低門檻方式發動勒索軟體攻擊。這也導致,2022上半資安事件數量的下降,下半年資安事件再度上升。
到了2023年,洪偉淦認為,網路攻擊事件的數量,不僅明顯再度增加,已經恢復到2021年的水準,甚至還有所超越,最主要的原因也是RaaS型態下,使得攻擊變得普及且易於實施,也導致發起攻擊的團體變多。但他強調,現在受害者的結構,已經與過去有所不同,兩年前的狀況,多是大型企業遭鎖定,如今2023年後,則多是中型企業遇害。
而在攻擊目標轉向之下,由於這些中小企業的資安水準,其實存在一定的落差,因此也讓攻擊者無需用到極其複雜的手法,就能得逞,這些歹徒只要用以前的攻擊方法,就足以造成影響。這也造就資安事件數量增加的狀況——每個事件的勒索金額較小,但受到的攻擊數量較多。
而隨著中小企業遇害比例增加,洪偉淦也直言,過去這些規模的公司很少有資安事故調查的需求,但現在已經變得常見。
由於上市櫃公司對於發生的資安事故,並未具體列出類型,但因為勒索軟體肆虐全球,態度很猖獗,也讓所有人好奇:這些受害的公司是否就是遭遇勒索軟體的攻擊?
洪偉淦指出,在趨勢科技的觀察中,多數上市櫃公司遭網路攻擊,其實都是遭到勒索攻擊。基本上,2023年民間企業遭遇的資安事故,幾乎都是勒索攻擊,少有針對民間企業的APT攻擊,APT攻擊的主要目標還是政府。
不過要注意的是,勒索攻擊的型態並不全然是加密勒索,因為「偷資料的勒索」也逐漸成為常態,有些甚至是鎖定重要個資竊取的勒索。
對於這些勒索攻擊的現況,我們同樣掌握到許多事件。例如,去年底我們接觸國內一家建築工程顧問公司,得知他們遭勒索軟體攻擊,且情形嚴重,後續我們從網路上諸多資安情資中,又發現國內另一家建築工程顧問公司,被勒索軟體組織列為受害者。這兩家公司並非上市櫃公司,因此檯面下還有很多企業遭駭的狀況。
「不要以為中小企業就不會遭受駭客網路攻擊!」,過去就有許多資安業者這麼提醒,從這幾年的全球與臺灣企業實際受害消息來看,已經反映了這樣的情形,如今看來,駭客鎖定中小企業的攻擊態勢,更加明顯。
儘管歐美等國際執法單位正持續努力,打擊勒索軟體團體的網路基礎設施,緩解這方面的威脅,但不同攻擊者或重起爐灶的攻擊者,仍頻頻發起攻擊,這是企業必須體認到的現況。
無論如何,單以上市櫃公司的狀況來看,不同產業遭受攻擊的狀況也很明顯,威脅態勢也已經延續到2024年。因為今年前兩個月,資安事件重大訊息就有9件,等於平均每月4.5件,比例明顯增加。
除了監管的壓力,滿足合作夥伴對資安的需求更是挑戰
在關注網路攻擊事件增加之餘,我們也想了解的是,現在的資安事件重大訊息揭露,可能出現那些問題?又帶來哪些好的影響?
例如,從上述明確指出遭遇網路攻擊的事件來看,這些重大訊息的內容,幾乎有著大同小異的事件描述,內容相當含糊不具體。下面舉出兩例:
●「本公司資安團隊於查知遭受網路攻擊時,已全面啟動相關防禦機制,並委請外部資安公司技術專家共同處理,依法通報相關部門,已持續加強資訊安全管理。」
●「自偵測到部份資訊系統遭受駭客網路攻擊,資訊部門已全面啟動相關防禦機制與復原作業,同時與外部資安專家協同處理。」
對此我們找來一位分析上市櫃公司年報資安揭露現況的專家解讀,他曾在2022臺灣資安大會向大家報告此事。
安永企管副總經理陳志明認為,以2022年上市櫃公司年報來看,當時雖然已經要求公司需登載公司的資安管理作為,資安風險的影響,以及發生資安事件的因應,但以資安事件的部分來說,多數公司的揭露狀況並不理想,甚至比重大訊息揭露的還要少。
不過,單就上市櫃公司的資安事件重大訊息揭露而言,儘管公告內容變得制式化,但還是有其意義,至少讓大家能意識到網路攻擊事件的發生。若是以前,這些資安事件只有等到媒體曝光,才會引起大家注意,或是只有在業界流傳,無法獲得廣泛關注。
而且,企業也不用害怕揭露重大資安事件,畢竟在2019年中美貿易戰後,以及中國長年維持清零政策,臺灣在此局勢迅速發揮出本身的優勢,事實證明,有相當多臺廠營收暴增,遠高於2018年以前的業績。加上近年國際資金熱潮,造就許多公司的股價持續攀升,對於從2021年開始發布資安事件重訊的公司,這些公司的股價與EPS依然水漲船高,並未因資安負面消息而受到嚴重影響。
陳志明指出,對於這些上市櫃公司而言,只要不是大規模、持續無法復原的情況,受到勒贖攻擊並非最痛的點。
真正對企業帶來極大影響的,是受制於廠商彼此在合約上的罰款規則,以及未來可能有損失訂單的狀況。像是一旦企業外洩合作夥伴的重要機敏資料,其壓力將遠高於主管機關的規範。
換言之,企業所面對的更大壓力,將會是在如何滿足客戶要求,以及客戶對資安的需求。
又或是企業的資安防護問題,開始在投資銀行間流傳,後續又被客戶看到,引起更多不同層面的壓力。
當然,政府監管的力道也不可小看,只是,主管機關也需要考量上市櫃公司的規模大小不一,若要一體遵循,也不適合規範太嚴。
重大訊息揭露企業資安事件的要求日趨顯著,促使公司高層關注資安
關於重訊揭露資安事件帶來的意義,洪偉淦也很有感觸。過去他在一些針對高階主管或董事會的資安演講中,說明駭客如何入侵時,大家的反應平淡,但談到重大資安事件揭露時,大家就比較敏感,會提出更多問題、想知道答案。
他認為,過去普遍企業在意資安事故的層級,就是落在資訊主管、資安主管,但是現在講到重大訊息揭露的話,公司在意的層級就會拉高,起碼負責營運執行的高階主管會注意,還有像是法務、財務、風控等,甚至公司董事會。
換言之,只要與公司重大訊息發布有關的任何狀態變化,管理階層就會意識到,這些是公司經營管理必須在意的。
企業內部人員的態度也有轉變,因為,過去資安事故發生,只要沒拖垮公司的營運或是業務,高階主管不會想瞭解太多,反正資訊單位能夠處理就好。後續的資安改善動作,往往仰賴這個資訊主管或者資安主管是否有能力,與上層好好溝通,爭取到足夠的資源。
如今我們可以想見的是,一旦要發重大訊息,這時企業將會面對投資人、股東、主管機關證交所的壓力,而對於老闆們來說,就會更想進一步理解這件資安事故的情況,以及是否要發重訊。
無論如何,在臺灣證券交易所與證券櫃臺買賣中心的規範之下,國內超過1,700家上市櫃公司,以及300多家興櫃公司,只要重大資安事故發生,將面對投資人、股東、主管機關的壓力,而這樣密切受到眾人關注的情勢,都將促使資安更被企業高層重視。
.png)
2023上市櫃公司資安事件重大訊息一覽
公告日期:1月14日 華航
市場產業別 上市-航運業
公告標題與說明 華航針對媒體報導提出說明(針對會員資料被公開在國外論壇,說明接獲匿名網路勒贖信件後已報警及依法通報)
_________________________________________
公告日期:2月1日 和泰車
市場產業別 上市-汽車工業
公告標題與說明 澄清自由時報報導(說明旗下和雲行動服務公司的iRent資料庫個資曝險問題已改正)
______________________________________
公告日期:2月6日 裕融
市場產業別 上市-其他
公告標題與說明 針對媒體報導提出說明(說明旗下格上汽車租賃公司會員訂單資料的可被任意查詢問題的已經有所因應)
_________________________________________
公告日期:2月12日 華航
.jpg)
市場產業別 上市-航運業
公告標題與說明 華航已全面加強資安系統防堵 配合警方偵辦個資事件(說明查出委外電商平臺系統連線異常,5千多筆會員資料遭擷取)
_________________________________________
公告日期:2月13日 飛宏
市場產業別 上市-電子零組件業
公告標題與說明 公司發生網路資安事件
________________________________________
公告日期:3月6日 宏致
市場產業別 上市-電子零組件業
公告標題與說明 公司部份資訊系統遭受駭客網路攻擊事件說明
________________________________________
公告日期:3月8日 宏碁
市場產業別 上市-電腦及週邊設備業
公告標題與說明 說明媒體報導(針對宏碁印度售後服務系統遭駭事件,說明係商業夥伴密碼保存與管理不當,造成產品維修等資料外洩)
_________________________________________
公告日期:3月14日 鋼聯
市場產業別 上市-綠能環保
公告標題與說明 代子公司台鋼資源股份有限公司公告說明部份資訊系統遭受駭客網路攻擊
_________________________________________
公告日期:3月28日 立德
市場產業別 上市-電子零組件業
公告標題與說明 電子部份資訊系統及備份系統遭受網路攻擊事件說明
_________________________________________
公告日期:4月7日 微星
市場產業別 上市-電腦及週邊設備業
公告標題與說明 公司部分資訊系統遭受駭客網路攻擊(同時在公司網站公告)
____________________________________________
公告日期:4月14日 金鼎科
市場產業別 興櫃-其他
公告標題與說明 公司部分資料遭受駭客網路攻擊事件
_______________________________________________
公告日期:5月14日 誠品生活
市場產業別 上櫃-文化創意業
公告標題與說明 說明經濟日報112年5月14日14時10分網路新聞即時報導(針對誠品疑個資外洩狀況,表示將配合數服部通知前往說明)
________________________________________
公告日期:5月30日 正新
市場產業別 上市-橡膠工業
公告標題與說明 代子公司Cheng Shin Rubber USA, Inc公告部份資訊系統遭受駭客網路攻擊事件說明
____________________________________________
公告日期:6月19日 環天科
市場產業別 上櫃-通信網路業
公告標題與說明 公司部分資訊系統遭受駭客網路攻擊
_________________________________________
公告日期:7月24日 中華
市場產業別 上市-汽車工業
公告標題與說明 公司發生網路資安事件
_________________________________________
公告日期:7月28日 大樹
市場產業別 上櫃-生技醫療業
公告標題與說明 公司遭受駭客網路攻擊事件
_________________________________________
公告日期:8月19日 日馳
市場產業別 上市-電機機械
公告標題與說明 公司部份資訊系統遭受網路攻擊事件
____________________________________________
公告日期:10月7日 諾貝兒
市場產業別 興櫃-生技醫療業
公告標題與說明 公司遭受網路駭客攻擊事件
___________________________________________
公告日期:10月27日 羅昇
市場產業別 上市-電機機械
公告標題與說明 公司部份資訊系統遭受駭客網路攻擊
______________________________________________
公告日期:11月12日 中華化
市場產業別 上市-化學工業
公告標題與說明 公司部份資訊系統遭受駭客網路攻擊
___________________________________________
公告日期:11月20日 雄獅
市場產業別 上市-觀光餐旅
公告標題與說明 公司遭受駭客網路攻擊事件
______________________________________________
公告日期:11月20日 中石化
市場產業別 上市-塑膠工業
公告標題與說明 公司遭受網路攻擊事件
___________________________________________
公告日期:11月24日 大江
市場產業別 上櫃-生技醫療業
公告標題與說明 公司網路資安事件
_________________________________________________
公告日期:11月28日 上海商銀
市場產業別 上市-金融保險業
公告標題與說明 公告公司受金管會裁罰案之說明(原因為金管會針對該銀行客戶資料外洩案所涉缺失開罰)
資料來源:臺灣證券交易所公開股市觀測站,iThome整理,2024年3月
威脅延續至2024
兩個月來的資安重大訊息達到9起
公告日期:1月16日 京鼎
公告標題與說明 本公司公告部份資訊系統遭受駭客網路攻擊事件說明
公告日期:1月17日 恩德
公告標題與說明 本公司公告部份資訊系統遭受駭客網路攻擊事件說明
公告日期:1月19日 柏文
公告標題與說明 本公司旗下「健身工廠」會員個資遭駭客竊取事件說明
公告日期:2月5日 美琪瑪
公告標題與說明 本公司公告部份資訊系統遭受駭客網路攻擊事件說明
公告日期:2月5日 富野
公告標題與說明 本公司旗下分公司資訊系統遭受網路攻擊
公告日期:2月15日 瑩碩生技
公告標題與說明 代子公司歐帕生技醫藥股份有限公司公告部分資料遭受駭客網路攻擊事件
公告日期:2月19日 建準
公告標題與說明 本公司發生網路資安事件
公告日期:2月26日 昶昕
公告標題與說明 本公司公告部份資訊系統遭受駭客網路攻擊事件說明
公告日期:2月29日 中華電
公告標題與說明 說明本公司疑似資訊外流事件
資料來源:臺灣證券交易所公開股市觀測站,iThome整理,2024年3月
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22