延燒三天的台積電病毒感染事件,今天下午由總裁魏哲家在證交所舉行記者會,對整個事件作說明。聽完魏哲家主持近一個小時的記者會,解答了社會大眾不少疑惑,從其中的回答內容,也可以觀察出台積電的管理品質及危機處理等,有三個方向與大家分享。
首先是病毒感染為何會發生,主因是台積電在安裝新機台的軟體時操作錯誤,使得病毒在新機台連至內部網路時展開擴散,魏哲家強調,沒有駭客攻擊,也無任何勒索,純粹是台積電內部疏忽。
不過,媒體提問為何病毒可以讓北中南等廠區全部中毒,工廠完全停頼,是否內部沒有設防火牆?對於這一點,魏哲家多次回答都未提及,但強調未來任何新機台要上網前,除了人為掃毒外,也要讓系統自動做掃毒,只要沒掃毒就不能上線,把可能中毒的原因根除。
過去,台積電曾分享內部資安防護措施,強調已捨棄過去單層防護,改為多層防護。包括透過各項軟體,將惡意攻擊程式或釣魚信件擋在進入企業網路前。萬一防護有漏洞,駭客進入公司內部,再做層層分區防護,將駭客限制在某個區域,並讓他們無法做任何動作。但是,從此次事件擴及台灣所有廠房來看,所謂的多層防護仍然很薄弱,一樣在一夕之間破功,顯然內部網路防火牆出現重大漏洞。
據了解,對於大部分製造代工廠來說,在資訊安全系統的設計上,大部分都把重兵放在如何把病毒擋在外面,至於內部網路為了生產效率及方便性,往往強調要快速連網,很容易降低對資安程序的檢查,因為製造業的天職就是追求品質與交期,時間效率非常重要,一旦內網也要設很多檢查關口,效率必然打折。
因此,這次台積電的病毒事件,對於資安防範的觀念必然會有新衝擊,許多資安界朋友說,未來有關內網防毒的觀念會更受重視,企業也很難再用成本太高或太麻煩來當藉口,因為,「即使是溫室裡也會有感染,企業要防的不只是外部病毒,更要防內部的不當程序,甚至是內鬼或內賊。」
其次,病毒感染是一次性事件,終究會落幕,但許多人擔心,經過這次事件,台積電的內部管理是否出了問題?事實上,台積電在張忠謀及資訊長等人退休,新的經營團隊是否在管理系統上鬆掉了,才導致這次事件?我覺得,這樣的說法,某種程度上應該也是對的。
魏哲家多次強調,這次病毒感染,是台積電在裝了幾萬台機器後才發生一次。幾萬分之一,機率確實很低,外界似乎不應該太嚴苛看待,但問題就在於,台積電是全世界最重要的半導體製造廠,也集合了所有優秀人才,承擔所有人的期待,本來標準就要大幅提高;而且,管理層追求的就是降低百密中的一疏,但如今一疏仍然發生,管理階層失職,顯然是難辭其究。
其實,任何企業在交棒過程中,一定會發生新挑戰及新問題,完全無縫銜接相當困難,過去大家很肯定張忠謀,因此也認為台積電可以繼續原有的管理及文化,但問題是,台積電要維持霸業,只有新團隊繼續加倍努力上緊發條,才能持續這個文化與傳統。
不過,有人說台積電危機處理不及格,我覺得倒不至於,至少可以給七O分,因為我看到魏哲家在此次的危機處理上,還是有幾點值得肯定。一是總裁自己決定出席記者會,誠意十足,整場記者會滿臉笑容,對解答疑惑以及穩定投資人信心很有幫助。另外,針對是那家設備供應商、那個廠區、那個員工甚至賠償等責任問題,他一概都不回答,一直強調目前最重要的工作是協助客戶,讓台積電可以在第四季把欠客戶的訂單補回來,這一點顯然就是台積電優質文化的表現,我相信很多企業也都無法做得這點,甚至台灣整個社會都做不到,每次發生什麼重大事件,大家就是先追究誰有責任、誰該下台,台積電務實的企業文化,仍然可以給社會一個好示範。
至於對投資人來說,今天台積電遇到這個重大利空,最後只以小跌1.5元收盤,顯示投資人仍然相信台積電,而且今天記者會又宣布,經過台積電的努力,原本預估的損失營收從3%降到2%,而且全年業績可以在第四季努力補回來,這聽起來也是令人意外的好消息,今天晚上台積電美國ADR的股價,說不定都還有反應此利多的機會。
