您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

全球核能機構普遍缺乏資安意識

英國國際事務顧問公司Chatham House於10/5發布名稱為「民用核能設施的網路安全:了解它的風險」(Cyber Security at Civil Nuclear Facilities: Understanding the Risks)之研究報告,內容指出核電廠向來主要注重實體的防護,加上引進數位系統的腳步落後於其他產業,導致比其他產業缺乏遭網路攻擊的危機意識。為了進行此一研究,Chatham House邀請了全球30名核子專家及網路安全專家進行討論,這些專家來自於民間企業、政府組織,或學術機構,涵蓋美國、英國、加拿大、法國、德國、日本、烏克蘭及俄國,還有部分國際組織的代表。

隨著核能設施逐漸仰賴電子系統與商業軟體,相關的網路攻擊風險也逐漸升高。數位化的趨勢再加上主事者不了解相關風險的嚴重性,代表核電廠的員工或許無法完全理解網路漏洞的全貌,進而難以適當防範潛在攻擊行動。事實上,核能設施領域有一個普遍的迷思,就是以為核能設施都是與公眾網路隔離的,而且這足以保護它們免受網路攻擊的威脅。然而,其實只要一個隨身碟就能入侵核能設施,例如2010年感染伊朗核電廠的Stuxnet。Stuxnet最初的感染途徑即為USB隨身碟,可感染執行微軟Windows平台的電腦,並檢查該電腦是否連結伊朗核能設施專用的Siemens系統,然後竄改該系統的PLCs,藉此摧毀伊朗核電廠所使用的1000個離心機。外界相信,Stuxnet是由美國及以色列聯手打造以抵制伊朗核子技術的精密蠕蟲。然而,可透過USB隨身碟與網路傳染的Stuxnet最終在全球都傳出災情。

 

另一方面,核能設施也不全然與網路隔絕。連網所帶來的好處意味著核能設施現在也可能部署虛擬私有網路或其他網路功能,但承包商或合法的第三方合作單位可能會忘了此事。在此同時,駭客行動變得愈來愈容易進行也愈廣泛,坊間很容易就能買到針對各種已知或未知漏洞的自動攻擊套件。Stuxnet所使用的先進技術也不斷被複製,各式搜尋引擎也能找到那些連結至網路的重大基礎設施元件。只是核能設施網路安全意外被公開揭露的數量並不多,因此並不容易評估此一問題的影響範圍,可能讓核能設施員工誤以為相關意外真的很少。此外,相對保守且鮮少與外界分享資訊的核能設施領域也較少有機會向其他資安領域的業者學習。

Chatham House的研究認為,核能設施不論是從產業特性、文化特性,或技術特性來看,在針對網路攻擊的認知與防禦能力都充滿了挑戰。例如缺乏適當的風險評估能力、技術工程師與網路安全工程師的溝通不良、不理解網路安全的關鍵操作程序、網路安全訓練不足、缺乏緊急處理大規模網路安全意外的能力、控制系統本身就不安全、很難導入標準的IT解決方案,還有來自供應鏈的安全漏洞。研究亦指出,開發中國家的核能設施因資源相對較少,而使得安全風險偏高。該報告建議全球核能設施產業都應正視網路安全問題,切實評估相關風險,處理各種人為因素、推動資訊的揭露與分享、發展全球共通策略、消弭溝通障礙,以及改善安全防護等,以期能確實降低核能設施遭受網路攻擊的機率。

Reference

 

Publish Date
2015/10/19 0:00:00