Page 61 - 清流雙月刊 NO.40
P. 61

CI 學堂








                                                                  水設施的安全準則


                                                                     自 2021 年 2 月佛州奧爾德斯瑪市水
                                                                設施遭駭客攻擊後,美國網路安全和基礎

                                                                設施安全局(Cybersecurity and Infrastruc-

                                                                ture Security Agency, CISA)、環境保護
                                                                局(Environmental Protection Agency,

                                                                EPA)、聯邦調查局(Federal Bureau of
                                                                Investigation, FBI)及國土安全部(De-

                                                                partment of Homeland Security, DHS)等
                                                                單位針對水設施,提供以下三個面向的安
          駭客攻擊試圖篡改水設施的管控系統,將主要用以減少水中                            全準則:
          病原體、礦物質或其他汙染物的微量化學物質過量添加,此
          舉恐將對人體造成嚴重危害。
                                                                一、 水設施業者應密切留意網路安全法規
                                                                     動態,並主動防範網路攻擊:


            一、 先針對資安防護可能不足的小型水設                                   1.  分割(Segmenting)和隔離(Segre-
                  施,即蒐集資安防護明顯脆弱的外                                    gating)網路和功能。
                  站,作為初始入侵的目標。
                                                                  2.  限制不必要的橫向交流(Lateral Com-

            二、 攻擊者目標是用於控制閥門的可編程                                      munications)。
                  邏輯控制器(PLC)。
                                                                  3.  強固網路設備之安全,如選擇 HA

            三、 可能為供應鏈攻擊,攻擊者針對的是                                      設備。
                  合法使用供水設施的承包商。                                   4.  確保對基礎設施設備的存取安全。

            四、 挑選沒有設定適當網路安全組態來應                                   5.  伺服器系統及網路設備的遠端管理,

                  對更複雜的攻擊,比如有針對性的魚                                   宜執行頻外管理。
                  叉式網路釣魚(Spear Phishing)的擁
                                                                  6.  驗證硬體和軟體的完整性,即確保資
                  有者。
                                                                     料無論是在傳輸或儲存的生命週期
            五、 使用變種勒索軟體進行攻擊。                                         中,保有其正確性與一致性。

            六、 破壞 SCADA 系統中的文件。                                   7.  利用搜尋軟體(如 Shodan)蒐集水

            七、 攻擊者主要目標是破壞,特別是破壞                                      設施暴露在網路上的系統,並加以適

                  ICS 系統的完整性。                                        當的處置,以降低可以從 Internet 存
                                                                     取 Intranet 的風險。
            八、 利用遠端登入及存取來進行入侵。

            九、 SCADA 與 AP 系統共用相同的密碼。




                                                                                                  No.40 JUL. 2022  59
   56   57   58   59   60   61   62   63   64   65   66