「深度」台積電「休克」後甦醒 沒說清的事——給國內晶圓廠示警

作者：DIGITIMES張語芯

「確實是我們的疏失！」，才剛接任台積電總裁約兩個月的魏哲家6日在病毒感染機台外對說明記者會上，坦言內部作業疏失。

擁有數萬台機台，晶圓廠遍及海內外的台積電，8月3日傍晚竟因為一座機台感染WannaCry變種病毒不察，上線快速蔓延，導致正在作業晶圓停擺，機台停機，損失高達1.7億美元。

這對「資安優等生」台積電而言，有點不堪想像。

平日資安滴水不漏的台積電，連一個外來電子設備進入廠區都嚴格把控，竟然會讓未經隔離掃毒嚴查過的機台直接上線，新機SOP check流程出現這麼一個大漏洞。

台積電的「休克」案例，足以讓國內晶圓廠高度警戒，自危排查任何可能存在的資安風險，包括中芯國際在內晶圓廠都緊急啟動排查專案，確保此類「染毒」事件不會發生；此外，武漢、南京、成都、合肥、晉江等多地新建晶圓廠也以台積電慘痛案例為鑑，要求move-in equipment排查可能安全漏洞與隱患。

可說，台積電一休克，全球晶圓廠也跟著神經緊繃。

但反觀，已從暫時休克狀態中甦醒的台積電，沒說清的疑點還很多。

台積電澄清？ 眾多疑點未解

1. 台積電三連發大動作澄清

從事發3日傍晚，台積電緊急發布聲明，到5日再度發新聞稿說明損失情況與解決方案，接著6日對外召開媒體記者會，總裁魏哲家親自上火線說明，台積電連日內一連串動作針對同一事件，這種「不淡定」是台積電在過去所沒有的，也代表此事確讓這個晶圓巨頭很「震動」。

這也代表台積電將病毒感染事件，除了直接影響營運市場股價，更對台積電的對外形象與品牌誠信展開「危機公關」，市場上蔓延起所謂的競爭對手「陰謀論」，時機又正逢二代接班人剛上任，處於外界檢視考核這屆接班人運營與危機處理能力的敏感階段。

所以親上火線說明的魏哲家，記者會上巧用一段「客戶trust台積電」的話，望彌平外界疑慮，但事發已整整第三天，所有涉及高階主管對外真正的用意恐怕是傳遞給市場上更多客戶宣示台積電的品質把控未受影響，與即便遭受影響也在「可控的範圍」，好重拾外界對台積電的信心。

但，事實真的如此嗎？

2. 病毒潛藏機台window7 來自哪家供應商？隻字未提

據台積電說法，所有病毒感染，源自一座機台，而這一座機台作業系統是Window 7遭到WannaCry變種病毒感染。

但難以想像的是，台積電平日針對上千家供應商，尤其作為設備與材料供應商，往往經過層層軟硬體與技術驗證，居然在交付時，沒嚴格把控機台安全，就讓台積電可以上線使用。

WannaCry病毒並非近日才有，為何機台在出廠時，供應商沒有排查出來即交付給台積電？這個供應商是否同一批次也有交貨給其他晶圓廠？台積電沒有對外說明。

這讓整個供應鏈留下一個很大的謎題與不安隱患。

作為台積電半導體生態圈領頭羊，資安與環安作為一直是台積電視為企業社會責任重要一環。

這不僅作為生態鏈巨頭，是否應該適度向供應鏈系統提出示警與解決方案參考？也是重要一分子的擔當與責任。

3. 為何人為操作，導致疏失？

更不可思議的，發生在機台交付之後，擁有數萬台設備的台積電，竟然以人為操作進行機台的連線作業導致這次的不幸，正因沒有先隔離殺毒，擅自連線導致病毒蔓延。

過去外界印象，台積電代表著巨型晶圓廠高度自動化，都在這一次事件中「神話破滅」。

為此人為環節疏失付出慘重的代價。

事實上，台積電內部，建立了一套完整的網路及電腦安全防護系統以控管或維持公司的製造，營運及會計等重要運作的功能，所幸這次的病毒並未「加密」，也並未棘手程度到深入竊得傷及台積電機密數據，讓台積電得以迅速排查出來，並將災情控制住。

相較於魏哲家所言，對這次台積電同仁的處理很滿意；台積電的資安主管，則是一臉嚴肅，態度更為小心嚴謹，坦言在瞬息萬變的網路安全威脅中要承受推陳出新的病毒風險和攻擊，是所有企業共同挑戰，當然，台積電也不能完全保證其電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。

過去台積電資安優等生的成績單「破功」，甚至可能因中斷出貨而需賠償客戶損失，這個「資安污點」無可逃避的未來也將記在營運年報內，成為台積電徹底檢視資安政策與補救舉措的重大教案。

4. 其他機台沒即時修正軟體/補丁？又一個可侵入窗口

值得注意的是，這次台積電記者會中泄露了一個原本外界都不知道訊息，台積電機台內Window7作業系統沒有適時進行修正更新（打補丁）。

而事實上，WannaCry病毒並非今日才有，一出肆虐，微軟已經祭出補丁方案；台積電的說法卻是，這些機台若要安裝修正軟體，需要停機重啟，對於台積電而言，「時間就是金錢」產線停擺似乎是不容許的（或者代價過高？），所以武斷的講，並未完全落實？

強大如台積電，理應與軟硬體供貨商有更深度協同的合作，卻無法令其操作平台實時更新與維護，事發過後，未來找適當時機，才能將這些機台更新進一步修正。

中間的被動性與缺乏敏捷僵化，暴露無疑。

此偶發事件，已足以給台積電一個教訓，但豈不是昭告天下自曝其短，給了「魔鬼」鑽漏洞的條件？

一般來說晶圓廠都有安排在出貨淡季「歲修」，藉機維修與更新機台設備，此時爆發對台積電而言，正巧是下半年追趕出貨的旺季，時間點可說非常「尷尬」。

5. 為何如此「自信」沒有內神通外鬼？

令外界疑惑的是，台積電徹查此事宣布已經找到原因與錯誤過程，但是唯一的元兇只有「病毒」，卻沒有說明出事的部門，沒有說明廠家與來源，但卻能自信滿滿地指出不是外在駭客攻擊，也沒有「內鬼」，這一股自信哪裡來？留下外界許多疑惑。

台積電機密資訊保護（Proprietary Information Protection, PIP）政策嚴格把關，上至對上千家供應商都進行PIP訓練，下至近5萬名員工遵循嚴格PIP規範，小到基本門禁安全與識別證使用細節，到電子郵件外寄權限與文件列印控管，以及電腦設備與網路使用，每個月還進行超過200萬人次的PIP稽查，在這種情況下員工PIP違規率維持1%左右。

1%漏洞，百密一疏，這堂課，可說台積電付的真貴！而其他晶圓廠，引以為鑑更不能心存僥倖。