装软件操作失误损失77亿，工业物联网信息安全脆弱程度超出想象

全球晶圆代工龙头台积电遭遇黑色星期五。2018年8月3日傍晚，台积电多个厂区生产系统受到电脑病毒感染，造成新竹科技园FAB 12厂、南科FAB 14厂、中科FAB 15厂等主要高端产能厂区的机台停线，另有传闻称有两座8英寸晶圆厂也受到影响。在8月5日公告中，台积电表示，病毒感染范围已经被控制，解决方案也已经找到，至8月5日下午两点，约80%受影响机台已经恢复正常，预计到8月6日前，所有受影响机台都能够恢复正常。

台积电预估，这次病毒感染事件将导致晶圆出货延迟及成本增加，对台积电第三季度营收影响约为百分之三，毛利率影响约为一个百分点。在7月19日第二季度法说会上，台积电曾预估第三季度营收在84.5亿美元至85.5亿美元之间，据此估算，这次安全事故造成的损失在2.5亿美元以上，约合新台币77亿元。

台积电称，此次病毒感染的原因是新机台在安装软件的过程中操作失误，被感染病毒的新机台连接到公司内部网络时发生病毒扩散。据“芯思想”《台积电遭勒索病毒攻击，缘起硅片传输系统》，病毒来源是日系的硅片传输系统，目前硅片传输系统的两大主力供应商都来自日本，分别是Murata Machinery和Daifuku。初步确认是去年5月全球爆发的勒索病毒，是ms017-101漏洞，通过445端口传播。受影响的产能约在7万片左右，其中主要生产制程集中在7纳米与12纳米，还有部分16纳米制程。

在8月5日台积电公告中，并未说明病毒感染的具体状况。事实上，台积电内部管控严密，私人电子设备禁止带入，连上厕所都要刷卡，供应商去维修机台时诊断数据也不许外传。为防止病毒感染，绝大部分产线设备及控制电脑的外接端口都被封闭，按照上新机台的标准流程，在连线之前需要对新机台扫描。如果被感染的真是勒索病毒（有传言是最新变种），在连线之前的病毒扫描环节应该能够被杀毒软件查出。所以病毒被扩散的可能只有两个，要么病毒没有被扫描出来，要么扫描步骤被遗漏。而病毒如何带进台积电公司也是一个迷，究竟是新设备入场前已经被感染病毒，还是在为新设备按照调试时被U盘或其他移动存储设备感染，尚无确定结论。这次事件无论最终责任由哪一方来负，台积电都有足够理由重新审核整个操作流程及产线信息安全架构。

台积电这次生产事故暴露出来的工业互联网安全风险隐患令人惊骇。作为全球最先进的制造企业之一，台积电生产线联网程度极高，其在台湾的多个12寸厂之间都实现了互通互连，制程工程师可以远程连线机台，这是病毒能够快速扩散的原因。而晶圆制造设备大多采用Windows系统，也是勒索病毒（WannaCry）能够得逞的原因。据行业人士介绍，Windows系统在晶圆制造设备领域的主导地位已经有很多年，而多数工控设备防范病毒的意识很薄弱，很多还在使用微软已经停止技术支持的操作系统，存在极大的安全风险。

产线因为感染病毒而停线的状况并不罕见，但这种情况多数是配置落后、安全措施有严重缺陷的旧产线，这些产线通常自动化程度不高，所以被病毒感染或受到攻击也只是局部问题。像台积电这样几乎所有在台新产线都受到影响还是第一次。

台积电7纳米客户主要有苹果、高通、海思、AMD与Nvidia，这次病毒事件将影响到部分客户的新产品供给。但据“芯思想”，近期台积电12英寸产能利用率持续下降，综合考虑台积电的实力，此次事故对整体供应影响应不大。

伴随联网设备数量大增，信息安全成为物联网面临的最大风险。2016年10月，美国发生大规模网络拒绝服务（DDoS，分布式拒绝服务）攻击事件，攻击造成的互联网瘫痪最早出现在美国东部，然后传导西欧部分国家，此次攻击造成部分区域互联网通信中断，包括亚马逊、Twitter、Paypal、Netflix、Airbnb等知名网站都一度无法访问。这次攻击中黑客通过一种被称为“物联网破坏者”的Mirai病毒来寻找联网设备，当扫描到一个物联网设备后，就尝试用默认密码进行登录，一旦成功登录，这台设备就成为黑客的“肉鸡”，被其用来攻击其他网络设备。据称在这次网络攻击中，有上百万台被控物联网设备参与攻击，其中包含大量的网络摄像头，这些“肉鸡设备”被称为僵尸物联网。《麻省理工科技评论》发布2017年十大突破技术时，僵尸物联网就列入其中。

韩国产业研究院表示，到2020年，全球因为物联网安全问题导致的经济损失将达到180亿美元。而美国战略咨询公司Altman Vilandrie &Co在2017年的一份针对400名IT高管进行的调查显示，48%的公司曾经遭遇物联网（IoT）网络攻击，对小型企业而言，因此蒙受的损失占总营收的13%，而对于年营业额20亿美元以上的公司，因信息安全问题而导致的损失可能会高达2亿美元。

网络规模不断膨胀导致任何一个小漏洞被利用都可能会造成极大的损失。年初处理器漏洞被曝光，波及范围之广创出记录，自2000年之后的所有先进处理器都存在“熔断”或“幽灵”漏洞，黑客可以利用该漏洞来窃取用户信息。

传统上与外网切断的工业内网相对比较安全，但因此防护措施也比较弱，伴随自动化程度提高，联网不可避免，因此防护措施也要相应跟上。但工业设备背负着很多历史包袱，又有非常多的定制化应用，所以在安全方面有很多妥协，以操作系统为例，Windows本质上并不适用于对实时性要求较高的工业应用，而且与办公电脑采用相同的操作系统，增加了被感染的机会。

要实现根本的安全，需要从芯片、操作系统、通信协议到上层应用做通盘考虑，这种改天换地将付出极大的成本，但相比潜在损失而言，拉长时间来看，应该是非常值得的投入。

附录

台积电声明

台灣積體電路製造股份有限公司今（5）日針對電腦病毒感染事件提供進一步說明，台積公司於8月3日傍晚受到電腦病毒感染，影響台灣廠區部分電腦系統及廠房機台，受病毒感染的程度因工廠而異，台積公司已經控制此病毒感染範圍，同時找到解決方案，至台灣時間下午兩點為止，約80%受影響的機台已經恢復正常，台積公司預計在8月6日前，所有受影響機台皆能夠恢復正常。

台積公司預估此次病毒感染事件將導致晶圓出貨延遲以及成本增加，對台積公司第三季的營收影響約為百分之三，毛利率的影響約為一個百分點。台積公司有信心第三季晶圓出貨延遲數量將於第四季補回，全年業績展望以美元計仍將維持7月19日所說的高個位數成長。

台積公司多數客戶皆已收到相關事件的通知，我們也正與客戶緊密合作，溝通其晶圓交貨時程，台積公司將在未來幾天內與個別客戶溝通細部資訊。

此次病毒感染的原因為新機台在安裝軟體的過程中操作失誤，因此病毒在新機台連接到公司內部電腦網路時發生病毒擴散的情況。惟台積公司資料的完整性和機密資訊皆未受到影響，台積公司已採取措施彌補此安全問題，同時將進一步加強資訊安全措施