文章目錄
這個場景我建議每家公司都在腦中演一次。週五深夜 ERP 被加密,經過一個地獄般的週末(那七十二小時的指揮與對外溝通,我在資安事件三線作戰那篇寫過了),到了第五天,資訊部門帶著黑眼圈宣布:「系統救回來了。」會議室剛要鬆一口氣,財務主管問了一句:「那這五天的帳呢?」
五天的出貨、收款、領料、退貨,散在手寫紙條、私人 Excel 和口頭承諾裡。沒有人記得完整的順序,有幾筆出貨連單據都沒有。
大家都以為勒索危機在系統救回來那一刻結束;對財務來說,那一刻下半場才開球。 系統的復原是技術題,帳的復原是內控題——而第二題答不好,第一題答得再漂亮,這次事件留下的疤都會在明年的查核報告上。
把它想成一場全城大停電
勒索軟體打中核心系統,最貼切的類比是全城大停電:不是某個設備壞了,是整個供電網一起黑掉。而處理過停電的人都知道兩件事——復電要按順序來,一次全送會再跳一次電;還有,停電期間城市還是要運作,醫院的發電機、路口的交通指揮,都得事先準備好。
這個比喻先幫你破掉第一個迷思:被打中的當下,「付不付贖金」不是第一個問題。第一個問題是盤點你還有什麼——離線備份還在嗎(攻擊者通常最先處理它,原因我在備份備援那篇講過)?加密範圍到哪?多少系統還能用?前七十二小時的三個動作是隔離、評估、決策,付贖是評估完之後的最後選項之一,而且涉及法律與制裁風險,輪不到技術部門單獨決定(見 FAQ)。
同一時間有一條平行戰線:這件事極可能構成重大訊息。資安事件是證交所明列的重訊事由,時限用小時計;損失夠大(扣除保險理賠後預估損失超過實收資本額兩成或三億元)還要開重訊記者會。這條線的完整打法在三線作戰那篇,這裡只放一句提醒:重訊的時鐘在事發當下就開始走,不會等你把系統救回來。
復電順序:為什麼先財務、後製造
多數老闆的直覺是先救產線——機台停著,損失看得見。這個直覺通常是錯的,理由用停電就能講明白:復電永遠先送調度中心,因為沒有調度中心,你連哪裡還停電都不知道。
ERP 裡的調度中心是財務與主檔。生產要領料,領料要庫存帳;出貨要開票,開票要客戶主檔與價格;每一筆交易最後都要落到總帳。財務模組和主檔沒回來就先開製造,等於讓工廠在沒有帳的狀態下製造交易——復原期間交易多得是,稀缺的是能正確入帳的交易。先開製造的公司,多半要再花好幾週才把帳接回來。
可以預先核定的復原順序(示意,依你家 BIA 調整):
| 順位 | 復原什麼 | 為什麼 |
| 1 | 總帳、主檔(客戶/供應商/料號/價格)、權限 | 一切交易的基準;權限亂開,復原期就是舞弊的黃金週 |
| 2 | 收付款作業 | 現金為王:該收的錢要能收,付款排程斷了傷信用 |
| 3 | 訂單、出貨、開票 | 營收活動恢復,且每一筆從此有正式軌跡 |
| 4 | 生產、領料、排程 | 此時領料有帳、完工有據,製造才不會製造混亂 |
| 5 | 報表、分析、周邊介接 | 最後接回,順序低不代表不重要 |
這張表最大的價值在於事前核定。事發當下,業務喊出貨、廠長喊開工、財務喊對帳,每個人都對,你沒有時間仲裁——預核的順序表就是那個時候的仲裁者。
帳務斷點:停機那幾天,公司靠三張紙活著
停機期間生意不會停,這幾天的交易品質,決定復機後是三天接回來還是三個月。手工單據三原則:
- 預編連號。 空白的出貨單、領料單、收款單,事先印好、預編連續號碼,封存放著(對,用印的——停電的時候,印表機跟系統一起陣亡的機率不低)。連號的意義是完整性:復機後對「單據用到幾號」就知道有沒有漏。
- 雙簽。 停機期間沒有系統幫你擋核決權限,就退回最古典的控制:每張手工單兩個簽名,作業的人加核准的人。金額大的,往上多拉一層。
- 每日彙總封存。 每天營業結束,當天手工單據彙總、點收、裝袋封存,註記日期與經手人。這個動作五分鐘,換來的是復機後補登有清楚的批次可循,也讓「事後塞單」變得困難。
復機之後是補登,三條紀律:
- 補登要能被辨識。 用專屬批次或標記讓每一筆補登交易可以被整批撈出來,交易日與登錄日分開記——交易發生在停機的哪一天,就記哪一天。
- 斷點要有基準。 復機第一件事是對關鍵庫存與現金做一次斷點盤點,用實體數字當補登的錨。先有錨再補帳,對不上的差異才有歸屬。
- 差異要有去處。 補完一定有對不上的:沒單據的出貨、重複的收款。差異全部進差異清單,逐筆處理留紀錄,不准「調整掉就好」。
為什麼紀律要求到這個程度?因為這段帳一定會被放大檢視。年底查核時,會計師對停機期間的收入截止、存貨數量會特別敏感,你要交出四樣東西:停機期手工單據的封存、補登對照、斷點盤點紀錄、事件處置時序。這四樣,就是你的舉證。三線作戰那篇的定律在這裡是字面意義的成立——事件當下比受駭更危險的,是拿不出處置軌跡。 被勒索是災難,帳說不清楚是丙等內控。
事前準備:這六件事現在做,比事發後便宜一百倍
| # | 準備項 | 最低標準 |
| 1 | 離線/不可變備份 | 至少一份攻擊者拿到最高權限也動不了的備份(做法見備份備援篇) |
| 2 | 手工單據預案 | 預編連號空白單據包+三原則寫成一頁作業指引,跟消防設備放一起 |
| 3 | 復原順序預核 | 上面那張表,管理階層核定版 |
| 4 | 權限最小化 | 災情半徑是被權限設計決定的——平時的最小授權,就是事發時的防火巷 |
| 5 | 聯絡樹與決策授權 | 半夜誰有權下令斷網、多大損失誰能拍板,寫成名字不是職稱 |
| 6 | 演練 | 一年一次,劇本裡必須包含「手工開單四小時」——沒演練過的預案只是文件 |
【給決策者的備忘錄】
讀完覺得背後發涼的話,這個反應是對的,但別把它轉成恐慌採購——這張清單裡沒有一項是「買設備」,六件事全是制度與準備,而且大多這一季就能做完。你們家的復原順序該怎麼排、手工單據指引怎麼寫、演練劇本怎麼設計,這些跟你的產業和系統架構綁在一起,需要有人陪你把預案建起來的話,歡迎與我們聯繫。
常見問題
Q1:到底該不該付贖金?
這題沒有通用答案,但有通用的順序:付贖是評估完所有選項之後的最後一個商業決策,第一反應應該是隔離與盤點。付款未必拿得回資料、可能涉及洗錢防制與國際制裁名單的法律風險、也可能讓你成為回頭客名單上的常客——決策要由律師、保險公司、管理階層共同做成並留下紀錄。本文的立場是把力氣花在讓你「有不付的本錢」:離線備份與演練。(本段屬一般性說明,個案請諮詢法律專業。)
Q2:資安保險有用嗎?
有用但別誤解它的角色:保單只理賠損失金額;復原能力與商譽,錢買不回來。而且理賠金額會直接影響重訊記者會門檻的計算(門檻是扣除保險理賠後的預估損失),投保時就該讓財務與法遵一起看條款。理賠範圍與除外條款各家差異大,依合約為準。
Q3:中小企業沒有資安團隊,最少要做什麼?
三件事:一份離線備份(週期依你能承受的資料損失訂)、一包預編連號的手工單據加一頁指引、一張寫著名字的聯絡樹。這三件事的成本以千元計,擋的是以千萬計的混亂。
(資安治理系列待續:個資法新制與客戶主檔治理。本文涉及贖金決策與保險之段落為一般性說明,個案請以法律顧問與保單條款為準。)
