翻转网安思维与价值命题 强化关键基础设施网安防护

2021/01/07 - DIGITIMES企划

众所皆知我国的资通安全管理法除定义公务机关、特定非公务机关的资通安全责任外，也特别针对关键基础设施(Critical Infrastructure；CI)的网安规范多所着墨。CI指的是实体或虚拟资产、系统或网络，其功能一旦停止运作或效能降低，恐对国家安全、社会公共利益、国民生活或经济活动造成重大影响。

国立中兴大学信息科学与工程系教授兼资通安全研究中心主任廖宜恩认为，欲强化关键基础设施网安防护，须先彻底改变网安思维与价值命题，一方面将「事后考虑」旧思维转向「网安始于设计」新思维，另一方面将「网安即成本」的价值观调整为「网安即利润」。

此外他非常关注近期爆发之「核弹级的网安事件」，认为相当值得各界借镜与警惕。有一帮黑客先骇入网络管理系统软件供应商SolarWinds，将SUNBURST恶意软件植入到SolarWinds Orion更新程序，因而感染美国的财政部、商务部、国务院、国土安全部、国防部、卫生部等多个政府单位，以及财星500大的许多企业，而身为SolarWinds客户之一的FireEye也遭池鱼之殃，其用来测试企业环境安全的红队评估工具，被黑客成功窃取。这起事件，无疑是黑客眼中相当完美的供应链APT攻击典范。

另值得留意的，美国智库战略暨国际研究中心(CSIS)收集自2006年起对政府部门、国防单位、高科技公司的网络攻击事件，以及造成超过100万美元损失的网络犯罪事件；而台湾在2020年有4个网安事件上榜，包括5月中油及台塑遭勒索软件攻击事件；5月总统府内部会议文件被窃事件；8月7家半导体厂商惊爆被国内黑客入侵长达2年事件，失窃标的包含原始码、软件开发套件、芯片设计；以及8月中华民国政府指控国内黑客入侵至少10个政府单位、6,000个E-mail帐号窃取个资与政府情报。

至于黑客攻击电网事件簿，自从2015年12月乌克兰西部地区电网输配电SCADA系统与客服主机遭受攻击，导致225,000户停电3~6小时以来，类似事件可说屡见不鲜。像是法国Schneider Electric中东发电厂的工控系统遭植入恶意程序、导致电厂被迫关闭；2019年3月美国加州洛杉矶郡与犹他州盐湖城郡的电网遭到DDoS攻击，中断监控系统；以及2020年4月阿塞拜疆的风力发电的SCADA遭不明黑客组织攻击等等。

面对山雨欲来的关键基础设施网安威胁，乃至像是SolarWinds事件这般供应链攻击，廖宜恩提出呼吁。首先在物联网及IT/OT融合趋势下，将使CI与智能制造面临更大网安挑战，业主必须有Secure by Design思维，与网安即利润的价值命题。其次资通安全管理法实施后，网安人才与网安服务需求大增，产官学研需共同携手打造强韧的台湾。再者台湾有许多优秀网安公司，政府机关与企业应当善用这些助力强化网安水平，并建立重视网安的文化、及深度防御的网安策略。


图说：国立中兴大学信息科学与工程系教授兼资通安全研究中心主任廖宜恩。