資安廠商也要負責？金融科技公司向防火牆供應商求償

當資安廠商自己被駭，導致客戶也遭受攻擊時，責任該如何歸屬？這個問題正在美國法庭上演真實版本。

德州金融科技公司Marquis本週向客戶發出備忘錄，宣布將向防火牆服務供應商SonicWall尋求賠償。Marquis指控，SonicWall自身的資料外洩事件，直接導致了該公司2025年8月遭受勒索軟體攻擊，造成數十萬名客戶的個人和金融資料被竊。

連鎖攻擊的始末

根據Marquis的說法，整起事件的源頭是SonicWall遭受的網路攻擊。駭客入侵SonicWall的雲端備份服務，竊取了客戶企業的防火牆設定檔案和認證資訊。Marquis將防火牆設定備份存放在SonicWall雲端服務中，這些關鍵資訊後來被駭客用來繞過Marquis的防火牆系統。

Marquis為美國數百家銀行和信用合作社提供客戶資料視覺化服務，掌握大量個人資訊、金融數據和社會安全號碼。此次攻擊中，這些敏感資料全數落入駭客手中。

更令人關注的是SonicWall的資訊揭露過程。該公司2025年9月首次公布資料外洩時，聲稱僅影響不到5%的客戶。但到了10月，SonicWall修正說法，承認所有使用雲端備份服務的客戶防火牆設定資料都已被竊取。這種「先少報後修正」的做法，無疑加深了客戶的不信任。

第三方調查揭露真相

Marquis委託第三方機構進行詳細調查，試圖釐清攻擊的真正原因。調查初期考慮了該公司未及時安裝安全性更新的可能性，但最終確認相關漏洞無法以此次攻擊手法加以利用。

調查結果顯示，駭客確實利用從SonicWall竊取的資訊來迂迴Marquis的防火牆防護。這成為Marquis指控SonicWall的主要依據。該公司在備忘錄中表示，正在「評估各種選項」，包括「要求Marquis及其客戶因應此次資料事件所產生費用的賠償」。

SonicWall則回應稱，已要求Marquis提供相關證據支持其指控，並將持續與客戶溝通。該公司強調：「我們沒有新證據能證實2025年9月報告的SonicWall安全事件與目前全球針對防火牆和邊緣設備的勒索軟體攻擊之間存在關聯。」

亞洲企業的警示

這起事件對亞洲企業具有重要警示意義。隨著數位轉型加速，許多亞洲企業大量採用雲端安全服務，但往往忽略了供應商本身的安全風險。

特別是在金融服務業，香港、新加坡、台灣等地的金融機構普遍使用國際資安廠商的解決方案。Marquis事件提醒我們，即使是業界領導廠商也可能成為攻擊目標，進而影響整個供應鏈的安全。

對於重視資料保護的華人市場而言，這類事件更凸顯了本土化資安能力的重要性。過度依賴單一國外供應商，可能在地緣政治緊張時期帶來額外風險。

責任歸屬的新標準

這起案件可能成為資安產業責任歸屬的重要判例。傳統上，企業購買資安服務是為了降低風險，但當服務供應商自身成為風險來源時，法律責任如何劃分仍是灰色地帶。

Marquis的做法可能開啟新的趨勢：受害企業不再默默承受損失，而是積極向上游供應商追責。這將迫使資安廠商重新評估自身的責任範圍和保險需求。