基礎建設成駭客攻擊熱點 資安防護已成關鍵議題

隨著新興科技發展,製造業整合 IT、OT 發展 IoT(物聯網)技術,驅動工業 4.0 時代來臨,卻也成為駭客攻擊目標。中興大學資工系退休教授廖宜恩指出,過去金融、石化等傳統產業,由於使用隔離的內網,一向被視為可置外於駭客攻擊目標,但隨著新科技應用的導入,近幾年駭客攻擊關鍵基礎設施案例暴增。

 

中興大學資訊科學與工程學系退休教授 廖宜恩先生。(圖/蔡雨婷攝影)



例如,今 (2021) 年 5 月上旬美國最大燃油管道系統 Colonial Pipeline 遭勒索病毒入侵,衝擊燃油供應,美國總統拜登甚至宣布緊急狀態,「資安問題上升為國安危機」。 Colonial Pipeline 為美國最大的輸油管系統,為德州到美東之間最重要的輸油管道,由於公司資訊系統遭駭,為避免災情擴大,Colonial Pipeline 緊急關閉輸油系統,美國總統拜登為此宣布緊急狀態,最後公司支付 75 顆比特幣(約$440 萬美元)才讓系統在 5 月 12 日恢復運作。

 

 

資安事件平均財損逾 1500 萬

 

廖宜恩引述 McAfee、戰略暨國際研究中心(CSIS)研究報告「The Hidden Costs of Cybercrime(2020-12-7)」,指出 2020 年全球網路犯罪損失估計約 9450 億美元,資安費用約 1450 億美元,合計超過 1 兆美元。其中 2/3 受訪公司曾在 2019 年遭受資安事故,每件事故平均造成服務中斷 18 小時,財損平均超過 50 萬美元(折合新台幣約 1500 萬),網路犯罪損失有超過 75 % 屬於 IP 偷竊、財務犯罪。

 

此外,攻擊關鍵基礎設施,如電力供應、供水、油管等,牽涉到經濟發展、國家安全等議題,為國家、業者帶來較大支付贖款壓力,因此成為駭客眼中肥羊,今年以來 CSIS 列舉多起相關事件,如南韓核能研究所遭北韓駭客利用 VPN 漏洞入侵、印度電網營運商則疑似遭中國駭客攻擊。

 

廖宜恩指出,隨著 IoT、5G、邊緣、雲端運算等技術普遍化,幾乎每一個人都無法避免網路攻擊,「資安素養」已成為國民必備知識;廖宜恩解釋,資安事件攻擊型態多採社交攻擊,透過釣魚信件吸引使用者點擊惡意連結,或無意間下載惡意檔案,抖音、Line 上轉傳的照片、短片等都可能遭駭客植入惡意程式。

 

日常上網示意圖。(圖/StockSnap.io)

 

 

疫情期間,民眾使用 3C 產品機會大增,多透過 Line 等社交軟體聯繫感情,有時 Line 上看到好友傳來短影片、早安圖等,常不經意點開、點擊連結,但這動作就有可能遭駭客入侵,「可以說是危機、風險無所不在。」因此企業需要因應策略,部署多層次防禦措施。

 

 

資安價值命題翻轉 學者籲提升風險意識

 

企業面臨資安議題,在思維、價值命題上需要徹底翻轉,「觀念改變才會刺激行動」;廖宜恩認為,傳統資安思維「資安是事後考慮」應轉變為「資安始於設計」,在價值命題上則應從「資安即成本」轉為「資安即利潤」,強健的資安保護是廠商打入供應鏈的必備要素。

 

廖宜恩舉近幾年國內重大資安事件為例,2018 年 8 月 3 日,台積電新竹某晶圓廠安裝產線新機台,但安裝人員未掃毒就將新機台連上網路,造成台積電全台產線大當機,財損約新台幣 26 億元,創下臺灣損失金額最高的資安事件紀錄,顯示供應鏈資安管理的重要性。

 

此外,2016 年 7 月 10、11 日清晨,「第一銀行 ATM 自動吐鈔事件」也凸顯資安維護的重要性,當時 10 多名分別來自俄羅斯等東歐國家的車手分別在一銀台北、台中等 22 間分行、41 台 ATM 自動提款機,盜領 8327 萬 7600 元。

 

整起駭客事件起因於一銀倫敦分行一台鎖在鐵櫃內的電話錄音伺服器主機,由於該主機採用 Windows XP 系統,多年微軟已不再支援更新,資安漏洞百出,駭客透過系統漏洞進到一銀內網,並找到 ATM 管理者最高權限,加上當時管理者使用連號等萬用密碼,駭客輕易破解後,成了遠端遙控 ATM 吐鈔的跳板。

 

廖宜恩說,資安價值過去只能在發生損失慘重資安的事件後凸顯,企業在承平時代常覺得資安就是增加成本。但是面對未來高度網路化的環境,企業管理高層要更具備資安知識,才能落實、布建多層次的資安防禦架構,並在資安業者的共同防護下,更能創造企業產品、服務之價值。

 

名詞解釋

 

資訊技術(原文:Information Technology,縮寫:IT)

美國資訊技術協會(ITAA)定義為:以電腦為基礎之資訊系統的研究、設計、開發、應用、實現、維護或應用領域。

 

營運技術 (原文:Operation Technology,縮寫:OT)

工業控制系統(ICS; industrial control system)的操作和程式控制,則通常被稱為營運技術(OT)。


推薦閱讀

產業 IT 化 透過調整結構改善 OT 資安威脅

2021.09.30 特約記者 陸恩

居家辦公成資安破口 學者籲強化資安防護

2021.09.30 特約記者 吳佳穎

企業風險與日俱增 資安升級迫在眉睫

2021.09.30 特約記者 吳佳穎