Page 50 - 清流雙月刊 NO.53
P. 50
MJIB
水務和廢水處理程序中,多透過 PLCs 來管理各階
段作業,包括操作抽水泵浦填充蓄水池和水庫、
調節化學藥品的加入量、蒐集報告所需數據,以
及對操作系統發出重要警報等。
行轉型,這些系統使得工程師和承包商能
夠從遠端工作站監控溫度、壓力和化學物
質水平。這種針對關鍵基礎設施的攻擊最
氫氧化鈉是一種具有高腐蝕性的強鹼,通
常會少量用於控制水的酸鹼度,也是一 早可以追溯到 2007 年,當時美國和以色列
般肥皂或清潔劑等家庭清潔用品的成分 共同對伊朗的納坦茲(Natanz)核設施發
之一。(Photo Credit: Ian Eure, https://flic.kr/p/
a8Mw8w; Walkerma, https://w.wiki/AugT) 起攻擊,摧毀約 1,000 臺鈾濃縮離心機。
這次攻擊被稱為 Stuxnet,自那以後,關鍵
基礎設施逐漸成為駭客偏好的攻擊目標。
MFA),斷開 PLC 與網際網路連接,備份
邏輯和配置以實現快速恢復,並應用最新
《美國水基礎設施法案》所規範
更新套件。
網絡安全問題
在水務和廢水處理部門(water and
美國國土安全部(Department of
wastewater sector, WWS)當中,現今多
Homeland Security, DHS)認為水務和廢
透過 PLCs 來監控與控制供水和廢水處理各
水處理部門是 16 個關鍵基礎設施部門中主
階段與程序。這包括操作抽水泵浦以填充
要的網絡攻擊目標之一,如何保護其免受
蓄水池和水庫、調節化學藥品的加入量以
網絡安全威脅,被認為是國家優先事項。
符合規範要求、蒐集符合各月或各季法規
美國 EPA 在去(2023)年備忘錄即指出,
報告所需數據,以及對於操作系統發出重
根據最近調查和網絡攻擊報告顯示,許多
要警報。
系統尚未採用基本網絡安全最佳實踐作
全美乃至全球各地水處理廠、水壩以 法,處於個人、犯罪集團或是國家或國家
及油氣管線操作人員已加速向數位系統進 支持行動者網絡攻擊風險之中。
48 清流雙月刊
