iThome
最近看到好多上市柜公司遭遇网路攻击的新闻!国内频频传出企业发生资安事件,持续引起企业与民众的广泛关注。
今年才刚开始,1月就有3家上市公司(京鼎、恩德、柏文)公告资安事件重大讯息,并且发生在同一个星期之内,到了2月,又有6家公司(美琪玛、富野、莹硕生技、建准、昶昕、中华电)公告发生资安相关事件。
事实上,台湾企业在2023年公开的资安事故确实是增加的,尤其是下半年事件揭露相当密集。根据今年初我们进行回顾,发现过去一年,共有17起遭网路攻击的资安事件重大讯息,而且还有其他6起与资安事件相关。
这样的结果,并不只是反映台湾企业所面对的资安态势,日益严峻,更重要的意义在于,近3年前证交所对于重大讯息处理程序的修订,促使越来越多上市柜公司公开重大资安事件的相关资讯,让投资人进一步了解企业经营状况,也让国人更了解资安风险。
有了上市柜公司的示范,也间接促进更多企业与组织,愿意主动公开他们面临的资安危机,让台湾遭受网路攻击的情况,能够更真实地反映出来。而非许多资安事件只有资安业界知道,但因为这些受害公司担心家丑外扬而不愿意公开这方面的资讯,导致大家都不够了解威胁的严重性。
资安透明度提升之余,虽然上市柜公司揭露的状况大多相当简单扼要,但从这些揭露当中,我们还是找出一些值得大家关注的关键资讯。
首先,随著企业更愿意开诚布公、坦承资安事故,再加上国内外加速推动数位转型、遭受恶意软体与骇客攻击的范围持续扩大、地缘政治引发的冲突等因素,使得台湾上市柜公司资安事件公告的数量,比起2021年与2022年明显增加,不仅受害的产业相当广泛,发生资安事故的中小企业明显变多。
单是发布遭网路攻击重大讯息的公司,过去一年内就有17家
过去一年以来,有多少上市柜公司发布资安事件相关的重大讯息?根据各公司在台湾证券交易所(证交所)与证券柜台买卖中心(柜买中心)揭露的资讯来看,至少有17起遭网路攻击的资安事件重大讯息公告。
在这些重大讯息的标题,都明确说明他们遭遇网路攻击事件,以个别公司而言,2月有飞宏,3月有宏致、立德,4月有微星、金鼎科,6月有环天科,7月有中华、大树,8月有日驰,10月有诺贝儿、罗升,11月有中华化、雄狮、中石化、大江。
母公司代替集团子公司公告资安重讯的有2家,例如,3月,钢联代表旗下的台钢资源发布;5月正新代表旗下Cheng Shin Rubber USA发布。
值得注意的是,关于2023年资安事件相关的重大讯息,并非只有这17起,在我们统整相关资讯时,发现还有6起重大讯息的发布,其内容是回应与个资曝险或个资及资料外泄相关事件,只是单看该则重大讯息的标题,可能无法得知与资安事件有关。
因此,以2023年全年而言,我们找到至少有23起资安事件相关的重大讯息。
网攻威胁重讯2023下半年频传,经常出现密集事件公告
以上市柜公司遭网路攻击的情况来看,在2023年17起事件中,我们可看出,2023下半的态势最值得关注。
这是因为上半年受害的产业,多是科技业与电子零组件,到了下半年受害产业类型大增,遍及多种传统产业,涵盖药局、汽车、自行车、观光、化学、塑胶、生技等。
而且,有同产业接连遇害的情况。例如,7月底,「大树医药」公告遭遇网路攻击事件,到了10月初,拥有丁丁连锁药局的「诺贝儿宝贝」,也公告遭网路攻击。
11月下旬由于资安事件重讯发布得相当密集,更是引发关注。例如,首度出现一日有两家公司揭露遭遇网路攻击事件,包括:旅游业「雄狮」、塑胶工业「中石化」,甚至在同一星期,还有生技业「大江」也揭露遭骇。
资安重讯呈现的资安事故只是冰山一角!实际遇害数量更多
综观上述资安事件重大讯息的发布,确实让企业与外界感受到,2023网路攻击威胁的日益升温,但台湾企业遭受网路攻击的严重程度,是否真有如此这般严峻?
过去企业资安威胁看似不普遍,先前他们遭遇网路攻击,多半是态势严重而被民众揭露才曝光,但近两年来,政府要求上市柜公司的资安事件揭露,使得更多事件浮出台面,不一定代表整体威胁总量的增加。
2023年的台湾资安威胁态势是否恶化?曾协助处理许多企业资安事故的资安业者趋势科技,提出他们的看法,该公司台湾区暨香港区总经理洪伟淦指出,对比2023年上市柜公司重讯发布数量来看,企业资安遭骇的数量成长幅度,其实并没有特别高,但事件总量确实有稍微提升,原因在于,去年有更多攻击是针对防御较弱的中小企业而来。
具体而言,2023年的攻击态势确实高于2022年,就他们经手的事件来看,事件数量大概多了3成的比例,若与资安威胁相当严峻的2021年相比,2023年则是略微提升。
为何有这样的变化?洪伟淦进一步解释,这几年的网路攻击,尤其是勒索软体攻击,正处于型态转变的时期。
以2021年的攻击而言,通常都是大型骇客集团发起,其攻击目标也多是相当知名的企业,使用的手法通常比较精进,也会要求很高的赎金。
然而,在2021年勒索软体肆虐的情况下,全球执法机构开始加强合作,以打击网路犯罪活动。因此,2022年成为攻击者转型的时刻,许多骇客组织开始转向勒索软体即服务(RaaS)的模式,也就是攻击者提供平台或服务,让其结盟伙伴以低门槛方式发动勒索软体攻击。这也导致,2022上半资安事件数量的下降,下半年资安事件再度上升。
到了2023年,洪伟淦认为,网路攻击事件的数量,不仅明显再度增加,已经恢复到2021年的水准,甚至还有所超越,最主要的原因也是RaaS型态下,使得攻击变得普及且易于实施,也导致发起攻击的团体变多。但他强调,现在受害者的结构,已经与过去有所不同,两年前的状况,多是大型企业遭锁定,如今2023年后,则多是中型企业遇害。
而在攻击目标转向之下,由于这些中小企业的资安水准,其实存在一定的落差,因此也让攻击者无需用到极其复杂的手法,就能得逞,这些歹徒只要用以前的攻击方法,就足以造成影响。这也造就资安事件数量增加的状况——每个事件的勒索金额较小,但受到的攻击数量较多。
而随著中小企业遇害比例增加,洪伟淦也直言,过去这些规模的公司很少有资安事故调查的需求,但现在已经变得常见。
由于上市柜公司对于发生的资安事故,并未具体列出类型,但因为勒索软体肆虐全球,态度很猖獗,也让所有人好奇:这些受害的公司是否就是遭遇勒索软体的攻击?
洪伟淦指出,在趋势科技的观察中,大多上市柜公司遭网路攻击,其实都其实都是遭到勒索攻击。基本上,2023年民间企业遭遇的资安事故,几乎都是勒索攻击,少有针对民间企业的APT攻击,APT攻击的主要目标还是政府。
不过要注意的是,勒索攻击的型态并不全然是加密勒索,因为「偷资料的勒索」也逐渐成为常态,有些甚至是锁定重要个资窃取的勒索。
对于这些勒索攻击的现况,我们同样掌握到许多事件。例如,去年底我们接触国内一家建筑工程顾问公司,得知他们遭勒索软体攻击,且情形严重,后续我们从网路上诸多资安情资中,又发现国内另一家建筑工程顾问公司,被勒索软体组织列为受害者。这两家公司并非上市柜公司,因此台面下还有很多企业遭骇的状况。
「不要以为中小企业就不会遭受骇客网路攻击!」,过去就有许多资安业者这么提醒,从这几年的全球与台湾企业实际受害消息来看,已经反映了这样的情形,如今看来,骇客锁定中小企业的攻击态势,更加明显。
尽管欧美等国际执法单位正持续努力,打击勒索软体团体的网路基础设施,缓解这方面的威胁,但不同攻击者或重起炉灶的攻击者,仍频频发起攻击,这是企业必须体认到的现况。
无论如何,单以上市柜公司的状况来看,不同产业遭受攻击的状况也很明显,威胁态势也已经延续到2024年。
因为今年前两个月,资安事件重大讯息就有9件,等于平均每月4.5件,比例明显增加。
除了监管的压力,满足合作伙伴对资安的需求更是挑战
在关注网路攻击事件增加之余,我们也想了解的是,现在的资安事件重大讯息揭露,可能出现那些问题?又带来哪些好的影响?
例如,从上述明确指出遭遇网路攻击的事件来看,这些重大讯息的内容,几乎有著大同小异的事件描述,内容相当含糊不具体。下面举出两例:
●「本公司资安团队于查知遭受网路攻击时,已全面启动相关防御机制,并委请外部资安公司技术专家共同处理,依法通报相关部门,已持续加强资讯安全管理。」
●「自侦测到部份资讯系统遭受骇客网路攻击,资讯部门已全面启动相关防御机制与复原作业,同时与外部资安专家协同处理。」
对此我们找来一位分析上市柜公司年报资安揭露现况的专家解读,他曾在2022台湾资安大会向大家报告此事。
安永企管副总经理陈志明认为,以2022年上市柜公司年报来看,当时虽然已经要求公司需登载公司的资安管理作为,资安风险的影响,以及发生资安事件的因应,但以资安事件的部分来说,多数公司的揭露状况并不理想,甚至比重大讯息揭露的还要少。
不过,单就上市柜公司的资安事件重大讯息揭露而言,尽管公告内容变得制式化,但还是有其意义,至少让大家能意识到网路攻击事件的发生。若是以前,这些资安事件只有等到媒体曝光,才会引起大家注意,或是只有在业界流传,无法获得广泛关注。
而且,企业也不用害怕揭露重大资安事件,毕竟在2019年中美贸易战后,以及中国长年维持清零政策,台湾在此局势迅速发挥出本身的优势,事实证明,有相当多台厂营收暴增,远高于2018年以前的业绩。加上近年国际资金热潮,造就许多公司的股价持续攀升,对于从2021年开始发布资安事件重讯的公司,这些公司的股价与EPS依然水涨船高,并未因资安负面消息而受到严重影响。
陈志明指出,对于这些上市柜公司而言,只要不是大规模、持续无法复原的情况,受到勒赎攻击并非最痛的点。
真正对企业带来极大影响的,是受制于厂商彼此在合约上的罚款规则,以及未来可能有损失订单的状况。像是一旦企业外泄合作伙伴的重要机敏资料,其压力将远高于主管机关的规范。
换言之,企业所面对的更大压力,将会是在如何满足客户要求,以及客户对资安的需求。
又或是企业的资安防护问题,开始在投资银行间流传,后续又被客户看到,引起更多不同层面的压力。
当然,政府监管的力道也不可小看,只是,主管机关也需要考量上市柜公司的规模大小不一,若要一体遵循,也不适合规范太严。
重大讯息揭露企业资安事件的要求日趋显著,促使公司高层关注资安
关于重讯揭露资安事件带来的意义,洪伟淦也很有感触。过去他在一些针对高阶主管或董事会的资安演讲中,说明骇客如何入侵时,大家的反应平淡,但谈到重大资安事件揭露时,大家就比较敏感,会提出更多问题、想知道答案。
他认为,过去普遍企业在意资安事故的层级,就是落在资讯主管、资安主管,但是现在讲到重大讯息揭露的话,公司在意的层级就会拉高,起码负责营运执行的高阶主管会注意,还有像是法务、财务、风控等,甚至公司董事会。
换言之,只要与公司重大讯息发布有关的任何状态变化,管理阶层就会意识到,这些是公司经营管理必须在意的。
企业内部人员的态度也有转变,因为,过去资安事故发生,只要没拖垮公司的营运或是业务,高阶主管不会想了解太多,反正资讯单位能够处理就好。后续的资安改善动作,往往仰赖这个资讯主管或者资安主管是否有能力,与上层好好沟通,争取到足够的资源。
如今我们可以想见的是,一旦要发重大讯息,这时企业将会面对投资人、股东、主管机关证交所的压力,而对于老板们来说,就会更想进一步理解这件资安事故的情况,以及是否要发重讯。
无论如何,在台湾证券交易所与证券柜台买卖中心的规范之下,国内超过1,700家上市柜公司,以及300多家兴柜公司,只要重大资安事故发生,将面对投资人、股东、主管机关的压力,而这样密切受到众人关注的情势,都将促使资安更被企业高层重视。
2023上市柜公司资安事件重大讯息一览
公告日期:1月14日 华航
市场产业别 上市-航运业
公告标题与说明 华航针对媒体报导提出说明(针对会员资料被公开在国外论坛,说明接获匿名网路勒赎信件后已报警及依法通报)
_________________________________________
公告日期:2月1日 和泰车
市场产业别 上市-汽车工业
公告标题与说明 澄清自由时报报导(说明旗下和云行动服务公司的iRent资料库个资曝险问题已改正)
______________________________________
公告日期:2月6日 裕融
市场产业别 上市-其他
公告标题与说明 针对媒体报导提出说明(说明旗下格上汽车租赁公司会员订单资料的可被任意查询问题的已经有所因应)
_________________________________________
公告日期:2月12日 华航
.jpg)
市场产业别 上市-航运业
公告标题与说明 华航已全面加强资安系统防堵 配合警方侦办个资事件(说明查出委外电商平台系统连线异常,5千多笔会员资料遭撷取)
_________________________________________
公告日期:2月13日 飞宏
市场产业别 上市-电子零组件业
公告标题与说明 公司发生网路资安事件
________________________________________
公告日期:3月6日 宏致
市场产业别 上市-电子零组件业
公告标题与说明 公司部份资讯系统遭受骇客网路攻击事件说明
________________________________________
公告日期:3月8日 宏碁
市场产业别 上市-电脑及周边设备业
公告标题与说明 说明媒体报导(针对宏碁印度售后服务系统遭骇事件,说明系商业伙伴密码保存与管理不当,造成产品维修等资料外泄)
_________________________________________
公告日期:3月14日 钢联
市场产业别 上市-绿能环保
公告标题与说明 代子公司台钢资源股份有限公司公告说明部份资讯系统遭受骇客网路攻击
_________________________________________
公告日期:3月28日 立德
市场产业别 上市-电子零组件业
公告标题与说明 电子部份资讯系统及备份系统遭受网路攻击事件说明
_________________________________________
公告日期:4月7日 微星
市场产业别 上市-电脑及周边设备业
公告标题与说明 公司部分资讯系统遭受骇客网路攻击(同时在公司网站公告)
____________________________________________
公告日期:4月14日 金鼎科
市场产业别 兴柜-其他
公告标题与说明 公司部分资料遭受骇客网路攻击事件
_______________________________________________
公告日期:5月14日 诚品生活
市场产业别 上柜-文化创意业
公告标题与说明 说明经济日报112年5月14日14时10分网路新闻即时报导(针对诚品疑个资外泄状况,表示将配合数服部通知前往说明)
________________________________________
公告日期:5月30日 正新
市场产业别 上市-橡胶工业
公告标题与说明 代子公司Cheng Shin Rubber USA, Inc公告部份资讯系统遭受骇客网路攻击事件说明
____________________________________________
公告日期:6月19日 环天科
市场产业别 上柜-通信网路业
公告标题与说明 公司部分资讯系统遭受骇客网路攻击
_________________________________________
公告日期:7月24日 中华
市场产业别 上市-汽车工业
公告标题与说明 公司发生网路资安事件
_________________________________________
公告日期:7月28日 大树
市场产业别 上柜-生技医疗业
公告标题与说明 公司遭受骇客网路攻击事件
_________________________________________
公告日期:8月19日 日驰
市场产业别 上市-电机机械
公告标题与说明 公司部份资讯系统遭受网路攻击事件
____________________________________________
公告日期:10月7日 诺贝儿
市场产业别 兴柜-生技医疗业
公告标题与说明 公司遭受网路骇客攻击事件
___________________________________________
公告日期:10月27日 罗升
市场产业别 上市-电机机械
公告标题与说明 公司部份资讯系统遭受骇客网路攻击
______________________________________________
公告日期:11月12日 中华化
市场产业别 上市-化学工业
公告标题与说明 公司部份资讯系统遭受骇客网路攻击
___________________________________________
公告日期:11月20日 雄狮
市场产业别 上市-观光餐旅
公告标题与说明 公司遭受骇客网路攻击事件
______________________________________________
公告日期:11月20日 中石化
市场产业别 上市-塑胶工业
公告标题与说明 公司遭受网路攻击事件
___________________________________________
公告日期:11月24日 大江
市场产业别 上柜-生技医疗业
公告标题与说明 公司网路资安事件
_________________________________________________
公告日期:11月28日 上海商银
市场产业别 上市-金融保险业
公告标题与说明 公告公司受金管会裁罚案之说明(原因为金管会针对该银行客户资料外泄案所涉缺失开罚)
资料来源:台湾证券交易所公开股市观测站,iThome整理,2024年3月
.png)
威胁延续至2024
两个月来的资安重大讯息达到9起
公告日期:1月16日 京鼎
公告标题与说明 本公司公告部份资讯系统遭受骇客网路攻击事件说明
公告日期:1月17日 恩德
公告标题与说明 本公司公告部份资讯系统遭受骇客网路攻击事件说明
公告日期:1月19日 柏文
公告标题与说明 本公司旗下「健身工厂」会员个资遭骇客窃取事件说明
公告日期:2月5日 美琪玛
公告标题与说明 本公司公告部份资讯系统遭受骇客网路攻击事件说明
公告日期:2月5日 富野
公告标题与说明 本公司旗下分公司资讯系统遭受网路攻击
公告日期:2月15日 莹硕生技
公告标题与说明 代子公司欧帕生技医药股份有限公司公告部分资料遭受骇客网路攻击事件
公告日期:2月19日 建准
公告标题与说明 本公司发生网路资安事件
公告日期:2月26日 昶昕
公告标题与说明 本公司公告部份资讯系统遭受骇客网路攻击事件说明
公告日期:2月29日 中华电
公告标题与说明 说明本公司疑似资讯外流事件
资料来源:台湾证券交易所公开股市观测站,iThome整理,2024年3月
