中油、台塑化接連遭駭,資安專家解讀,石化等關鍵基礎設施牽涉民生重要活動,為駭客覬覦目標,入侵目的較不單純;台灣石化業過去雖為資安績優生,但隨傳統封閉系統逐漸連網,入侵管道大增。
近日國內兩大石化公司中油、台塑化與半導體大廠力成,先後傳出遭駭客鎖定攻擊事件,安侯建業會計師事務所(KPMG)數位科技安全服務負責人謝昀澤觀察,相對政府機關、金融業、電商及高科技產業長期受駭客集團騷擾,台灣石化業過去鮮少發生大規模資安事件,一直為資安績優生。
不過,謝昀澤表示,值得注意的是,近年其他國家油、水、電等關鍵基礎設施遭駭客攻擊,導致大規模的災難事件的情形,屢見不鮮;國際大型電廠、石油庫、水庫水壩、飛航網路等高機敏設施的控制系統,都被駭客光顧過。
謝昀澤指出,傳統駭客攻擊一般企業,多半是想取得財物、客戶個資、營業秘密等有價資料,但是國際上關鍵基礎設施遭到攻擊的原因,通常是為了癱瘓攸關民生的關鍵設備運作,目的較不單純。
謝昀澤解讀,近年關鍵基礎設施越來越容易遭到攻擊,與傳統營運科技(OT)資訊聯網高度相關,當傳統封閉式的工業控制系統(ICS)等諸多OT設備,開始連上網路,採用開放式架構進行數位化作業以後,駭客入侵的機會與管道都大增。
謝昀澤示警,關鍵基礎設施涉及民生重要活動,更是國家級駭客覬覦的目標,大幅提高資安防護的困難程度,可預期大型企業與關鍵基礎設施業者,未來將面臨更多、更嚴峻的駭客挑戰。
KPMG數位科技安全服務副總邱述琛提醒,企業過去常將資安防護重心放在網路與核心伺服器,如今資安風險管理的範圍,必須要擴大到全數的聯網設備,尤其是容易遭到忽略的終端個人電腦、移動式設備、終端銷售機(POS)、刷卡機、電子支付設備、網路攝影機、遠距視訊會議設備等任何一個聯網設備上。
邱述琛表示,尤其疫情期間,大幅依賴遠端維護工作時,更是遭駭的危險期;任何一個員工將一支小小USB插入筆電,或是收到一封與真實郵件極度類似的偽冒釣魚郵件時,都應有風險意識與足夠的資安防護作為。
邱述琛補充,經濟部已頒佈「能源及水資源領域工業控制系統資安防護基準」,這是國內主管機關針對關鍵基礎設施訂定明確的最新實作指引,建議產業積極正視,並檢討落實,相信對未來國內相關產業的資安防護會有相當大的幫助。
{DS}