▎顧工控資安 產官學協力拼💪
今天很開心來到大同大學參加台灣數位鑑識發展協會、大同大學資工系與環奧國際舉辦的 #工業控制系統資通安全論壇 ,和大家一起討論數位浪潮興後,資訊化的IT和工業化的OT(Operational Technology,工業操控技術)持續融合,所湧現的各種新產能機會與資安挑戰。
如果看過布魯斯威利演的《終極警探4.0》,應該會對裡面的駭客按幾個鍵就可以癱瘓掉整個城市交通系統、造成社會瓦解的情況感到驚訝與誇張,但這已經是在現實中真實上演的威脅。包括2010年伊朗核電廠內的西門子PLC即被惡意程式Stuxnet入侵,影響核電廠啟動程序;2015年烏克蘭電廠遭到BlackEnergy惡意程式入侵造成該地大停電,以及去年5月,#中油與台塑遭到駭客勒索病毒的攻擊,營運暫時停擺⋯⋯這些網路攻擊或造成加油站癱瘓、地鐵系統停擺、水力發電站事故等,都顯示OT的資安防護早已是不得不面對的現實。
面臨新型態的物聯網發展,傳統資通訊安全產品無法完全對應與解決工控安全問題,OT資訊安全的素養與資安人才都培養都極待加強。
去年(2020),經濟部國營事業委員會也針對6個關鍵基礎設施的十種工控協定進行檢測,檢測結果發現,最大的OT資安風險,就是 #暴露易遭攻擊的服務,比例高達35%;其次則是暴露不安全工控協定,比例則有16%,這都顯示工控系統已成為駭客新興鎖定的攻擊目標!
近兩年特別需要注意的是勒索軟體及相關手法的興起,在2019年3月,全球最大鋁業之一的挪威公司Norsk Hydro,也發生IT網路遭到勒索軟體LockerGoga攻擊,波及製造環境的事件;2019年12月,美國知名資料供應中心CyrusOne遭到勒索軟體攻擊;而就在上個星期,一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回新筆電產品藍圖,更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料,並要求支付天價贖金🙀
這種「勒索軟體即服務(RaaS)」的網路攻擊模式在國外行之有年,近來犯罪手法更逐漸進階到針對大企業的「#針對式勒索」及備份企業資料進行加密勒索的「#雙重勒贖」,可見台灣包括政府與企業單位都面臨越來越嚴重的駭客攻擊風險。
過去一年從科技圈走入立法院,參與國家法律的擬定和政策討論,虹安深刻感覺到在 #資通訊安全 方面,無論是台灣的關鍵基礎設施防護或是政府的資安計畫都還還有很多的努力空間。在前瞻1.0、2.0的資安防護計畫當中雖然花很多資源在改善軟硬體,但專業資安人力培育力道依然相當不足,導致和企業的防禦性資安人才需求產生落差,這也是虹安收到許多業界的夥伴反應最迫切的問題。
總體來說,如何正確的佈署資安防禦的縱深,並強化整體企業資訊防護安全,是政府相關單位的當務之急,這也是我在立法院未來會持續監督的方向。今天在現場和許多前輩與夥伴共同探討了很多維護台灣工控資安的第一線見解與應對方法,一起為台灣資安努力的感覺,真好!
#今天遇到好多資安夥伴
#工業控制安全你我一起
雙重勒贖 在 Check Point情報長Lotem Finkelsteen指出:「今年勒索軟體 ... 的推薦與評價
... 企業實行遠距工作模式,讓IT系統出現嚴重漏洞,特別是在過去三個月,勒索軟體攻擊數字呈現驚人的急遽上升態勢,網路犯罪分子開始使用較複雜的『雙重勒索』攻擊。 ... <看更多>