近期國內的兩大石化公司與半導體大廠,紛紛傳出遭駭客鎖定攻擊的事件,KPMG數位科技安全服務負責人謝昀澤執行副總觀察,過去幾年台灣政府機關、金融業、電商及高科技產業雖較常受到駭客集團長期騷擾,但台灣石化業鮮少發生大規模資安事件,一直是資安績優生。
相對而言,近年國際上其他國家油、水、電等關鍵基礎設施遭到攻擊,而導致大規模的災難事件,卻是屢見不鮮。過去幾年,國際大型電廠、石油庫、水庫水壩 、飛航網路等高機敏設施的控制系統,都被有心駭客光顧過。這類「一隻病毒摧毀一個核子反應爐」的事件,不但真實在中東國家上演,還曾經被拍過紀錄片發表。
謝昀澤指出,傳統駭客攻擊一般企業,多是欲取得財物、客戶個資、營業秘密等有價資料。然而國際上關鍵基礎設施遭到攻擊的原因,通常是為了要癱瘓這些攸關民生的關鍵設備運作,實際目的較不單純。
謝昀澤分析,近年來關鍵基礎設施越來越容易遭到攻擊,與傳統營運科技(Operational Technology, OT)資訊聯網有高度相關。當傳統封閉式的工業控制系統(ICS)等諸多OT設備,開始連上網路,採用開放式架構進行數位化作業以後,駭客入侵的機會與管道就大增了。
此外,關鍵基礎設施直接涉及民生重要活動,更是國家級駭客覬覦的目標,也大幅提高資安防護的困難程度。大型企業與關鍵基礎設施業者,未來將面臨駭客更大的挑戰應該是想像之中,絕非意料之外。
KPMG數位科技安全服務副總邱述琛表示,過去的企業,常將資安防護重心放在網路與核心伺服器上;而今日的企業,資安風險管理的範圍,則必須要擴大到全數的聯網設備,尤其是容易遭到忽略的終端個人電腦、移動式設備、終端銷售機(POS)、刷卡機、電子支付設備、網路攝影機、遠距視訊會議設備等任何一個聯網設備上。尤其在疫情期間,大幅依賴遠端維護工作時,更是遭駭的危險期。
邱述琛提醒,所有人員連將一支小小USB插入筆電,或是收到一封與真實郵件極度類似的偽冒釣魚郵件時,都應有風險意識與足夠的資安防護作為。經濟部正式頒布了「能源及水資源領域工業控制系統資安防護基準」,這是國內主管機關針對業管的關鍵基礎設施訂定明確的最新實作指引,產業需要正視。只要積極落實執行並持續檢討精進,相信對未來國內相關產業的資安防護會有相當大的幫助。
-----
原來台灣政府機關、金融業、電商及高科技產業常受到駭客集團長期騷擾
而且國際上其他國家油、水、電等關鍵基礎設施遭到攻擊,而導致大規模的災難事件,屢見不鮮
還以為是電影小說才有的情節
天呀感謝背後堅守崗位的人 |
|
