中立且非營利的國際事務顧問公司Chatham House釋出《民用核能設施的網路安全:了解它的風險》研究報告,指出有鑑於核電廠向來主要注重實體的防護,再加上引進數位系統的腳步落後於其他產業,導致核能設施也較缺乏網路攻擊的危機意識。

為了進行此一研究,Chatham House邀請了全球30名核子專家及網路安全專家進行討論,這些專家來自於民間企業、政府組織,或學術機構,涵蓋美國、英國、加拿大、法國、德國、日本、烏克蘭及俄國,還有部份國際組織的代表。

報告指出,隨著核能設施逐漸仰賴數位系統與商業軟體,相關的網路攻擊風險也逐漸升高。數位化的趨勢再加上主事者不了解相關風險的嚴重性,也代表核電廠的員工也許無法理解網路漏洞的完整範圍而難以適當防範潛在的攻擊行動。

事實上,核能設施領域有一個普遍的迷思,就是以為核能設施都是與公眾網路隔離的,而且這足以保護它們免受網路攻擊的威脅。然而,其實只要一個隨身碟就能入侵核能設施,例如2010年感染伊朗核電廠的Stuxnet。

Stuxnet最初的感染途徑即為USB隨身碟,可感染執行微軟Windows平台的電腦,並檢查該電腦是否連結伊朗核能設施專用的Siemens系統,然後竄改該系統的PLCs,藉此摧毀伊朗核電廠所使用的1000個離心機。外界相信,Stuxnet是由美國及以色列聯手打造以抵制伊朗核子技術的精密蠕蟲。然而,可透過USB隨身碟與網路傳染的Stuxnet最終在全球都傳出災情。

另一方面,核能設施也不全然與網路隔絕。連網所帶來的好處意味著核能設施現在也可能部署虛擬私有網路或其他網路功能,但承包商或合法的第三方合作單位可能會忘了此事。

在此同時,駭客行動變得愈來愈容易進行也愈廣泛,坊間很容易就能買到針對各種已知或未知漏洞的自動攻擊套件。Stuxnet所使用的先進技術也不斷被複製,各式搜尋引擎也能找到那些連結至網路的重大基礎設施元件。

只是核能設施網路安全意外被公開揭露的數量並不多,因此並不容易評估此一問題的影響範圍,可能讓核能設施員工誤以為相關意外真的很少。此外,相對保守且鮮少與外界分享資訊的核能設施領域也較少有機會向其他資安領域的業者學習。

總之,Chatham House的研究認為,核能設施不論是從產業特性、文化特性,或技術特性來看,在針對網路攻擊的認知與防禦能力都充滿了挑戰。例如缺乏適當的風險評估能力、技術工程師與網路安全工程師的溝通不良、不理解網路安全的關鍵操作程序、網路安全訓練不足、缺乏緊急處理大規模網路安全意外的能力、控制系統本身就不安全、很難導入標準的IT解決方案,還有來自供應鏈的安全漏洞。研究亦指出,開發中國家的核能設施因資源相對較少,而使得安全風險偏高。

該報告建議核能設施產業應該要正視網路安全問題,切實評估相關風險,處理各種人為因素、推動資訊的揭露與分享、發展全球共通策略、消弭溝通障礙,以及改善安全性等。(編譯/陳曉莉)


熱門新聞

Advertisement