勒索軟體捲土重來？台積電、香港衛生署遭勒索軟體攻擊

據國外媒體報道，蘋果供應商、台灣半導體製造商台積電數家工廠於8月3日晚上遭病毒入侵，並因此停產。

台積電也於8月4日下午向外界通報了具體經過，該公司稱，「8月3日傍晚，部分機台受到病毒感染，並非外傳的遭受駭客攻擊。台積公司已經控制此病毒感染範圍，同時找到解決方案，受影響機台正逐步恢復生產。」

8月6日晚上，台積電召開記者會，台積電總裁魏哲家表示，此次病毒感染事件為新機台安裝過程中的疏忽所致，所有受影響產線已於今天下午全線復工，正在全速生產中。

對於8月3日的事件，魏哲家表示，此次病毒為去年全球爆發的「WannaCry」的變種，在竹科廠房安裝新機台時帶入，進而蔓延至中科和南科廠房。癥狀是宕機或重複開機，「越先進的製程自動化程度越高、越複雜，恢復起來難度越大。但生產製造資料、客戶資料都沒有受到病毒影響。」

「台積電數萬的機台，這還是第一次發生這樣的事件。此前台積電防範病毒的策略時在安裝新機台時，先掃毒，再上線。而此次的失誤在於先上線了機台，才進行掃毒程序，於是就發生了事故。」魏哲家解釋，「沒有內賊，也沒有外鬼，純粹是內部操作失誤。」多位業內人士均認為，像這種生產停擺事件會給公司造成很大損失，生產設備上的晶圓淪為廢片的概率很大。

對本次事件損失預估，此前的8月4日，台積電對外說明本次事件對公司影響造成負面影響。預估第三季營收將減少約3％，可能損失2.5億美元營收，毛利率的影響約為1個百分點。6日記者會時，台積電依然維持這一判斷。

而就在台積電召開記者會的當天，《南華早報》報道，香港衛生署成為黑客攻擊的最新受害者，此前有三台計算機遭到勒索軟體攻擊，導致數據被鎖定，無法被訪問，目前警方已經就此事展開了刑事調查。

香港衛生署證實，自上個月15日起，共有三個部門（感染控制處、藥物辦公室和臨床遺傳服務處）的三台計算機先後因感染勒索軟體而導致文件被加密。黑客留下了自己電子郵件地址，以便獲取加密密鑰，但並沒有標註贖金的具體金額。

衛生署的一位發言人稱，這幾台計算機都不包含任何敏感的個人信息，並且初步調查的結果顯示也不存在任何資料外泄。另外，由於衛生署會定期對計算機中的文件進行備份，因此受影響的工作人員可以從備份中取回所需的文件。目前，衛生署已向警方報案，而警方的網路安全及科技罪案調查科正著手調查，暫時沒有人員被捕的消息傳出。

根據勒索軟體趨勢報告顯示，勒索軟體攻擊者已經將主要攻擊目標從高價值個人轉向了企業伺服器。造成這種情況的主要原因可能是企業為伺服器支付贖金的意願相對更高。

這也說明去年的勒索軟體肆虐，並沒有完全引起工業企業的充分重視。工業企業的信息安全事件爆發主要集中在工業主機上，說明工業企業以下工作不到位：

1、工控信息安全未得到工業企業的重視，企業抱著只要不出事就不動作的心態，缺乏強力主管；

2、基本不做工控信息安全的檢查、評估，即使檢查也流於形式；

3、企業仍錯誤堅持認為，隔離的工業網路更安全。實際上，企業內部網路毫無安全措施，一旦被突破，會全部中招；

4、工業企業對資產情況的掌握和了解存在盲點。無法準確掌握入侵的資產是什麼、在哪裡，導致了一旦被入侵，大面積中招的現象；

5、工業主機操作系統版本繁多、老舊，補丁不做或者不能修復，系統無用埠隨意開放，未部署主機防護措施，基本處於裸奔狀態；

6、持續性在線安全監測能力是空白，應急措施缺乏；

針對勒索軟體事件防護，工業企業應採取如下防護措施：

1、董事會高度重視網路安全，明確責任人，建立管理組織和管理流程，持續性進行工業企業的安全檢查評估整改工作，有的放矢的發現安全問題；

2、加強工業主機安全防護，在做好充分兼容性測試的前提下，儘可能的修復操作系統的補丁、關閉無用的埠，同時使用適用於工業終端的防惡意代碼軟體（白名單技術）進行安全防護；

3、提升工業資產在線識別和監測能力，通過技術手段加強工業資產的安全管理和工業網路內的異常流量監測，及時發現、及時響應；

4、逐步建立分區分域，部署縱深防禦體系；

5、建立適合工業生產業務及環境的一整套安全管理體系；

安全是持續動態的，只有針對工業企業的業務特徵，滾動開展評估發現、加固整改、在線監測、響應處置等工作，才可以提升工業企業的整體信息安全能力，降低或杜絕此類台積電安全事件爆發的概率。

*參考來源：TechWeb、cnBeta，360威脅情報中心。