Page 55 - 清流雙月刊 NO.38

P. 55

CI 學堂

美國佛州一家水處理廠曾遭駭客入侵，其意圖改變飲用水中 NaOH 之添加量；皮膚若接觸未稀釋的 NaOH 會
引發不適，嚴重時會造成灼傷。左圖為淨水系統示意圖，右圖為遭 NaOH 灼傷的皮膚。（Photo Credit: Blazius,
https://commons.wikimedia.org/wiki/File:Sodium_hydroxide_burn.png）

四、監控所有日誌和感應器的異常活動，這攻擊揭示了沒有安全遠端存取系統所面

並追蹤警示和可疑活動，調查它們為臨的風險，以及 ICS 保護措施的重要性。

什麼發生。 7 所幸駭客行為即時被發現，但此事已驚動
白宮及聯邦調查局。
五、備妥備份和災難復原計畫，以防在調

查過程中若發現部分系統遭駭需要離事後對該事件調查分析顯示，該廠水
線重整，才能及時因應。質控制系統密碼與該廠使用的 TeamViewer

軟體的預設密碼疑似相同，所以駭客利用

美國佛州水處理設施遭駭事件其連上內部人員電腦，並取得該水廠操作
員的存取權限，幸好，駭客作為即時被員
2021 年 2 月，駭客利用遠端桌面通訊
工發現，進而取消此項作業。
協議（Remote Desktop Protocol, RDP）入

侵佛州奧茲馬鎮（Oldsmar）內的一家水這攻擊已將美國關鍵基礎設施的脆弱
處理廠（關鍵基礎設施）的水質控制系統，性暴露無遺，特別是證明了飲用水處理設
9
試圖改變飲用水中氫氧化鈉（NaOH）的施系統竟可被輕鬆地入侵。此一事件促
10
含量。值得慶幸的是，該公司值班人員適使美國 CISA 向關鍵基礎設施運營商發出
8
時發現，順利阻止受汙染的水流向公眾。警告，提醒他們使用過時之桌面共享軟體

7
由於伺服器不會與使用者互動，因此每個伺服器警示都可能是遭到攻擊的徵兆。
8
駭客將 NaOH 添加量由 100ppm 設定至 11,100ppm（超過 1 百倍）。NaOH 是種具腐蝕性的鹼液，小量使用能調整水的酸鹼度，未稀釋
時則有毒，會引發眼睛、皮膚不適。
9 監控和數據採集系統（supervisory control and data acquisition, SCADA）。
10
美國國土安全部之網路安全暨基礎架構安全局（Cybersecurity and Infrastructure Security Agency, CISA），職責在於維護關鍵基礎設施安全。

No.38 MAR. 2022 53

50 51 52 53 54 55 56 57 58 59 60