近年半導(dǎo)體產(chǎn)業(yè)的變化成為全球最大焦點之一，任何一點風(fēng)吹草動都會受到全球關(guān)切，今年2月6日美國半導(dǎo)體設(shè)備商萬機(jī)科技（MKS Instruments，以下簡稱MKS）揭露遭遇勒索軟體攻擊，就引發(fā)了產(chǎn)業(yè)間的關(guān)注。

而在相隔一周后，有另一家業(yè)者公布消息。美國半導(dǎo)體制程設(shè)備與服務(wù)大廠應(yīng)用材料表示，預(yù)估下季出貨與營收將受一家主要供貨商遭遇資安事件而影響，更是成為各界關(guān)注的焦點。同時也使得半導(dǎo)體產(chǎn)業(yè)供應(yīng)鏈風(fēng)險的議題，再次浮上臺面。

MKS在2月初揭露資安事故，一周后公布更多調(diào)查結(jié)果

MKS是在2月6日揭露遭遇勒索軟件。根據(jù)MKS公司網(wǎng)站投資人專區(qū)中所公開的內(nèi)容，他們已向美國證券交易委員會（SEC）提交重大事件的8-K表格文件。

在該文件中，MKS說明他們是在2月3日成為勒索軟件事件的受害者，發(fā)現(xiàn)事故時已立即采取行動，啟動事件回應(yīng)與營運持續(xù)管理（BCP），聘起專業(yè)IR人員協(xié)助調(diào)查，并通報該國執(zhí)法單位。IBM WebSphere Application Server 存在遠(yuǎn)程代碼執(zhí)行漏洞，通過發(fā)送特制序列化對象序列（也就是我們常說的反序列化）導(dǎo)致可在目標(biāo)系統(tǒng)執(zhí)行遠(yuǎn)程代碼。

同時，他們也說明了初步現(xiàn)況，當(dāng)下正處于調(diào)查與評估該事件的影響的早期階段，某些業(yè)務(wù)系統(tǒng)受到影響，并且當(dāng)中還包含了生產(chǎn)相關(guān)的系統(tǒng)。后續(xù)因應(yīng)上，他們將盡快調(diào)查與恢復(fù)受影響的系統(tǒng)，也說明資安保險可能抵銷部分成本，但尚未確定。

相隔一周，MKS于13日公開向SEC提交的另一份重大事件8-K表格，揭露了更多關(guān)于上述資安事件的后續(xù)消息。MKS指出這次發(fā)生的勒索軟件事件，沖擊了該公司為客戶提供服務(wù)的真空解決方案（Vacuum Solutions）與光子解決方案（Photonics Solutions）的部門，并影響該公司第一季度的訂單處理、產(chǎn)品運送。至于材料解決方案（Materials Solutions）的部門則不受影響。

同時MKS還表示，將延后去年第四季與全年財報的發(fā)布時間，以更好對應(yīng)勒索軟件攻擊事件帶來的財務(wù)影響。

到了2月16日，美國蒙大拿州司法院公布一份由MKS發(fā)布的資料外泄公告，也透露了相關(guān)狀況。當(dāng)中指出，最近的勒索軟體攻擊事件，導(dǎo)致MKS的業(yè)務(wù)與生產(chǎn)制造系統(tǒng)被加密而無法使用，同時可能還涉及了員工與前員工個資外泄的狀況。雖然目前尚未確認(rèn)是否外泄，但他們并不排除這樣的可能性，因此他們正在通知這些員工。盡管MKS認(rèn)為，從過去類似案例來看，勒索軟件攻擊者似乎避免針對個人使用這些個資。

至于MKS Instruments的公司網(wǎng)站首頁，我們在20日連上時只看到簡單的聲明頁面，說明 www.mks.com 遇到計劃之外的中斷，僅留下全球據(jù)點的電子郵件與電話聯(lián)絡(luò)方式，包括全球、歐洲、英國、中國、日本、韓國、新加坡與臺灣。

應(yīng)材表示因主要供應(yīng)商遭遇資安事件，導(dǎo)致影響下季出貨與營收

特別的是，在2月16日，美國半導(dǎo)體制程設(shè)備與服務(wù)大廠應(yīng)用材料（Applied Materials，簡稱應(yīng)材）發(fā)布會計年度第一季財報，由于當(dāng)中提到他們的一家供應(yīng)商最近發(fā)生網(wǎng)絡(luò)安全事件，將影響應(yīng)材第二季的出貨量，估計將造成該季營收減少2.5億美元，引發(fā)各界的關(guān)注。

雖然應(yīng)材并未透露是哪家供應(yīng)商，但根據(jù)威脅情資業(yè)者Recorded Future旗下媒體The Record的報導(dǎo)指出，有數(shù)位產(chǎn)業(yè)分析師表示，這家供應(yīng)商就是主要客戶為應(yīng)材與Lam Research的MKS，另外也有多家財經(jīng)、資安媒體報道提到該供應(yīng)商是MKS。

這樣的情形，引起各界對于供應(yīng)鏈風(fēng)險與資安威脅的關(guān)注。像是Malwarebytes資安研究人員就對此事件發(fā)表看法，指出應(yīng)材的情形就是供應(yīng)鏈被感染風(fēng)險所帶來的效應(yīng)，即使自身系統(tǒng)沒有被感染，但你的供應(yīng)商被攻擊也是會影響到自己的財務(wù)，而且以半導(dǎo)體芯片產(chǎn)業(yè)的零組件短缺情形而言，現(xiàn)在正是近年最嚴(yán)重的時機(jī)。

換言之，這次事件突顯了一件事，雖然大型企業(yè)越來越善于強(qiáng)化自身資安防護(hù)，但供應(yīng)鏈中的供應(yīng)商一旦發(fā)生資安事件，受沖擊的不只是供應(yīng)商，自身營運也連帶受波及，甚至產(chǎn)生長期的影響，畢竟半導(dǎo)體領(lǐng)域的供應(yīng)鏈可說是相當(dāng)復(fù)雜。

雖然國內(nèi)已有半導(dǎo)體大廠重視這方面的威脅，像是臺積電不只顧好自身的資安防護(hù)，他們在2020年開始設(shè)立供應(yīng)商信息安全協(xié)會，希望也能促進(jìn)供應(yīng)商與合作伙伴強(qiáng)化資安，與供應(yīng)鏈合作提升安全防護(hù)，但其他業(yè)者同樣要重視這樣的供應(yīng)鏈的隱憂與風(fēng)險，上述事件就是真實的例子。

美國半導(dǎo)體制程設(shè)備與服務(wù)大廠應(yīng)用材料在2月16日，發(fā)布了會計年度第一季財報，在提及下季展望時，特別指出最近有一家主要供應(yīng)商發(fā)生資安事件，預(yù)估會影響出貨量與營收。

國內(nèi)企業(yè)資安事件的信息公開，往往事件揭露僅停留在早期階段

另一值得國內(nèi)省思的議題，國際間有越來越多像是MKS這樣的企業(yè)，公開說明資安事件的具體概況與影響。例如，他們在在3日即時通報美國SEC并于6日公開揭露發(fā)生勒索軟件攻擊的資安事件，也清楚說明當(dāng)時處于調(diào)查的早期階段，后續(xù)他們還進(jìn)一步揭露更多細(xì)節(jié)，包括事件具體影響的范圍，甚至還發(fā)布個人資料外泄公告與通知。畢竟事件調(diào)查需要的時間，可能隨嚴(yán)重程度而有不同。

至于國內(nèi)，盡管我國金管會在信息公開面向近年開始有規(guī)范，上市柜公司需揭露重大資安事件，甚至預(yù)估損失金額達(dá)股本20%或3億元，必須召開記者說明，且年報也要登載。

但從普遍現(xiàn)況來看，上市柜公司在揭露資安事件后，一兩個月內(nèi)通常也就不再發(fā)布事件后續(xù)調(diào)查結(jié)果的公告或重大訊息，使得公開信息僅停留在最早期的階段，缺乏調(diào)查到一個段落的公開說明。因此，從公司治理的信息公開角度來看，不論政府主管機(jī)關(guān)與企業(yè)本身，都應(yīng)思考是否還有進(jìn)步的空間。