台积电澄清 5大疑点尚未解决

“确实是我们的疏失！”，才刚接任台积电总裁约两个月的魏哲家6日在病毒感染机台外对说明记者会上，坦言内部作业疏失。拥有数万台机台，晶圆厂遍及海内外的台积电，8月3日傍晚竟因为一座机台感染WannaCry变种病毒不察，上线快速蔓延，导致正在作业晶圆停摆，机台停机，损失高达1.7亿美元。

这对“资安优等生”台积电而言，有点不堪想象。

平日资安滴水不漏的台积电，连一个外来电子设备进入厂区都严格把控，竟然会让未经隔离扫毒严查过的机台直接上线，新机SOP check流程出现这么一个大漏洞。

台积电的“休克”案例，足以让国内晶圆厂高度警戒，自危排查任何可能存在的资安风险，包括中芯国际在内晶圆厂都紧急启动排查专案，确保此类“染毒”事件不会发生；此外，武汉、南京、成都、合肥、晋江等多地新建晶圆厂也以台积电惨痛案例为鉴，要求move-in equipment排查可能安全漏洞与隐患。

可说，台积电一休克，全球晶圆厂也跟着神经紧绷。但反观，已从暂时休克状态中苏醒的台积电，没说清的疑点还很多。

台积电澄清？ 众多疑点未解

1.台积电三连发大动作澄清

从事发3日傍晚，台积电紧急发布声明，到5日再度发新闻稿说明损失情况与解决方案，接着6日对外召开媒体记者会，总裁魏哲家亲自上火线说明，台积电连日内一连串动作针对同一事件，这种“不淡定”是台积电在过去所没有的，也代表此事确让这个晶圆巨头很“震动”。

这也代表台积电将病毒感染事件，除了直接影响营运市场股价，更对台积电的对外形象与品牌诚信展开“危机公关”，市场上蔓延起所谓的竞争对手“阴谋论”，时机又正逢二代接班人刚上任，处于外界检视考核这届接班人运营与危机处理能力的敏感阶段。

所以亲上火线说明的魏哲家，记者会上巧用一段“客户trust台积电”的话，望弥平外界疑虑，但事发已整整第三天，所有涉及高阶主管对外真正的用意恐怕是传递给市场上更多客户宣示台积电的品质把控未受影响，与即便遭受影响也在“可控的范围”，好重拾外界对台积电的信心。

但，事实真的如此吗？

2.病毒潜藏机台window7 来自哪家供应商？只字未提

据台积电说法，所有病毒感染，源自一座机台，而这一座机台操作系统是Window 7遭到WannaCry变种病毒感染。但难以想象的是，台积电平日针对上千家供应商，尤其作为设备与材料供应商，往往经过层层软硬件与技术验证，居然在交付时，没严格把控机台安全，就让台积电可以上线使用。

WannaCry病毒并非近日才有，为何机台在出厂时，供应商没有排查出来即交付给台积电？这个供应商是否同一批次也有交货给其他晶圆厂？台积电没有对外说明。

这让整个供应链留下一个很大的谜题与不安隐患。

作为台积电半导体生态圈领头羊，资安与环安作为一直是台积电视为企业社会责任重要一环。这不仅作为生态链巨头，是否应该适度向供应链系统提出示警与解决方案参考？也是重要一分子的担当与责任。

3.为何人为操作，导致疏失？

更不可思议的，发生在机台交付之后，拥有数万台设备的台积电，竟然以人为操作进行机台的连线作业导致这次的不幸，正因没有先隔离杀毒，擅自连线导致病毒蔓延。过去外界印象，台积电代表着巨型晶圆厂高度自动化，都在这一次事件中“神话破灭”。为此人为环节疏失付出惨重的代价。

事实上，台积电内部，建立了一套完整的网路及电脑安全防护系统以控管或维持公司的制造，营运及会计等重要运作的功能，所幸这次的病毒并未“加密”，也并未棘手程度到深入窃得伤及台积电机密数据，让台积电得以迅速排查出来，并将灾情控制住。

相较于魏哲家所言，对这次台积电同仁的处理很满意；台积电的资安主管，则是一脸严肃，态度更为小心严谨，坦言在瞬息万变的网路安全威胁中要承受推陈出新的病毒风险和攻击，是所有企业共同挑战，当然，台积电也不能完全保证其电脑系统能完全避免来自任何第三方瘫痪系统的网路攻击。

过去台积电资安优等生的成绩单“破功”，甚至可能因中断出货而需赔偿客户损失，这个“资安污点”无可逃避的未来也将记在营运年报内，成为台积电彻底检视资安政策与补救举措的重大教案。

4.其他机台没即时修正软件/补丁？又一个可侵入窗口

值得注意的是，这次台积电记者会中泄露了一个原本外界都不知道讯息，台积电机台内Window7操作系统没有适时进行修正更新（打补丁）。

而事实上，WannaCry病毒并非今日才有，一出肆虐，微软已经祭出补丁方案；台积电的说法却是，这些机台若要安装修正软件，需要停机重启，对于台积电而言，“时间就是金钱”产线停摆似乎是不容许的（或者代价过高？），所以武断的讲，并未完全落实？

强大如台积电，理应与软硬件供货商有更深度协同的合作，却无法令其操作平台实时更新与维护，事发过后，未来找适当时机，才能将这些机台更新进一步修正。中间的被动性与缺乏敏捷僵化，暴露无疑。

此偶发事件，已足以给台积电一个教训，但岂不是昭告天下自曝其短，给了“魔鬼”钻漏洞的条件？

一般来说晶圆厂都有安排在出货淡季“岁修”，借机维修与更新机台设备，此时爆发对台积电而言，正巧是下半年追赶出货的旺季，时间点可说非常“尴尬”。

5.为何如此“自信”没有内神通外鬼？

令外界疑惑的是，台积电彻查此事宣布已经找到原因与错误过程，但是唯一的元凶只有“病毒”，却没有说明出事的部门，没有说明厂家与来源，但却能自信满满地指出不是外在骇客攻击，也没有“内鬼”，这一股自信哪里来？留下外界许多疑惑。

台积电机密资讯保护（Proprietary Information Protection, PIP）政策严格把关，上至对上千家供应商都进行PIP训练，下至近5万名员工遵循严格PIP规范，小到基本门禁安全与识别证使用细节，到电子邮件外寄权限与文件打印控管，以及电脑设备与网路使用，每个月还进行超过200万人次的PIP稽查，在这种情况下员工PIP违规率维持1%左右。

1%漏洞，百密一疏，这堂课，可说台积电付的真贵！而其他晶圆厂，引以为鉴更不能心存侥幸。