貧弱的企業資安應變公告

最近臺灣有一些企業面臨惡意軟體的攻擊事件，許多人都在猜測是否與總統即將於5月20日就職有關，這些攻擊活動是否有關聯性，仍有待釐清，但這些公司在事件發生的當下，對外揭露相關資訊的方式，仍有不少可議之處，如果未來在緊急應變時，能夠更即時、更主動地公開目前處理的狀況，各界一旦有了這些透明的資訊，能夠掌握整體事態的進展，也會讓顧客與一般民眾更加安心。

以台灣中油受到惡意程式攻擊的事件為例，我們在5月4日因為先看到其他新聞媒體的報導，而開始追蹤此事的進展，當時我們只能從經濟部的網站，看到他們發出台灣中油的新聞稿（發布時間為下午3時），當中以兩段文字解釋當時的狀況，而台灣中油的臉書粉絲團也在50分鐘後，轉貼了這個新聞稿連結，若要進到台灣中油的網站（www.cpc.com.tw）查看時，卻無法連上。

到了5月5日上午9時50分，經濟部再度替台灣中油發出新聞稿，指出系統復原情況，而台灣中油的臉書粉絲團同樣在50分鐘後，轉貼了這篇新聞稿連結，但底下仍有許多網友留言，表示相關服務並未完全恢復。

5月7日下午2時30分，經濟部繼續替台灣中油發出新聞稿，該公司表示他們正逐站檢測資訊設備並非斷油，台灣中油的臉書粉絲團仍舊在相同的時間間隔後，轉貼新聞稿連結。到了5月9日，經濟部在下午3時20分發布新聞稿，宣告台灣中油已順利運作，而其臉書粉絲團則是隔了2個半小時，轉貼這項消息，但網址是台灣中油自家網站。

這中間讓我們很納悶的是，台灣中油的網站到底怎麼了？為何這些資安應變的公告不是由該公司網站來發布，而是透過他們的主管機關經濟部來進行。

如果該公司網站可以正常運作，出現這類資安事故之後，相關對外的消息公告，理應是從這裡先發布，而非依托其他機構或管道。當然，前提是網站必須要正常運作，任何關切此事的人們皆可順利連上。

其實，公司本身經營的社群網站專頁，例如臉書粉絲團，也是一般人認可的公共溝通管道。而經歷此次事件之後，希望這家公司能夠重新審視公告相關訊息的方式，以便讓消費者與社會大眾掌握實情，不只是根據媒體報導、輿論來揣測，也能經由公司直接對外公告的資訊來理解現況。

上述作法雖然仍有不少可改進的部份，我們期待台灣中油能夠繼續提供更完整的事件處理經過資訊，但不論如何，他們至少發布了一定數量的消息，表達了對外溝通的誠意。反觀其他近期爆出遭到惡意程式攻擊的企業，所揭露的消息可說是寥寥可數。

例如，台塑集團5月5日傳出遭到電腦病毒攻擊，就沒有對外發出公告，我們看到社群網站、新聞媒體報導之後，以電話聯繫該公司，才證實這項傳言。另一家力成科技5月5日傳出遭到惡意程式攻擊，我們無法連上該公司的網站，隔天，他們在台灣證券交易所的公開資訊觀測站發布消息，但僅提出78個字的說明，到底是因為何種方式而被感染，外界不得而知。

這些公司對於當時面臨的資安威脅，或許各有難言之隱，然而，公開揭露的資訊太少，其實無助於外界的理解與包容，而其他可能感染或有被滲透風險的企業，也無從防範，甚至已經受害卻不自知，因此，我們還是期望每一家公司在面臨這樣的事故，最好能夠積極、主動說明，雖然會損及商譽，但至少在一定程度的揭露下，不會讓大家瞎猜而造成恐慌。