據〔聯合報2018-08-05〕報導:「台積電8月3日發生病毒感染事件,導致部分廠房產線停擺,據內部工程師表示,這次中毒事件人為疏失的機率大,以協力廠商或台積電員工未按sop掃毒的可能性較高。」…see more … see more 。
台積電中毒大當機,對於半導體產業來說是件大事,因此相關的報導很多。從這些報導,我們大概可以了解台積電的機台控制軟體管理流程可能如下:
台積電的協力廠商灌好機台控制程式及軟體系統後,把機台送進廠房安裝,然後運作時按SOP掃毒,沒問題後,把機台連接到公司內部網路,然後進行機台控制程式及軟體系統的自動化分發和安裝到其它機台。
台積電撤掉內部的防火牆,以自動化的方式來分發和安裝機台控制程式及軟體系統,因而得到效率和彈性,卻也增加了風險。
這個風險由於協力廠商或台積電員工未照SOP行事,終於成真,讓病毒入侵並擴散。
由於效率和彈性是台積電的策略,所以內部防火牆必須撤除。因此台積電選擇加強外部防火牆,增加、強化防呆的措施,讓未經掃毒的程式不能進入內部網路。
這是一種降低風險的必要做法,但是縱深不夠,應該要增加第二道防線:防火牆或護城河。而這個防火牆或護城河就在協力廠商上。
我曾經輔導過與台積電的協力廠商有類似性質的公司,其內部的控管實在不太好,與他們做生意的公司可能晚上睡不好覺。
當然,台積電的協力廠商說不定每家都很好,不會有這種情況發生。但是把責任放在協力廠商身上,讓他們做為台積電的防火牆或護城河,應該是一個值得考慮的選項。
《《《《《《《《《《《《《《《《》》》》》》》》》》》》》》》》》
《資訊和通訊科技基礎建設管理系統(Information and Communications Technology Infrastructure Management
System, ICTIMS)》第三版,在Pubu電子書城銷售,請至: https://www.pubu.com.tw/ 購買。
