日前花蓮的地震相信大家仍餘悸猶存。儘管關鍵基礎建設安全仍深受天然災害影響,然而據統計,「平均每11年發生一次大停電,其中11%與資通訊系統的問題有關。」愛爾蘭都柏林大學理工學院副院長兼電力系統教授劉鎮欽在國家關鍵基礎建設保護研討會中談到,網際安全與日俱增,資通訊系統與電力等關鍵基礎建設之間關係更加密不可分。
隨著工業控制系統(Industry Control System)逐漸由專屬式轉向非專屬式,且越來越多設備改由windows、unix及TCP/IP網路組成,其中的SCADA系統設備正面臨著高度風險。劉鎮欽指出,以電力系統環境來說,風險最高的是在變電所及發電廠。由於負責調度的控制中心有較多專家駐守,因此駭客會透過攻擊變電所,先破壞某條輸電線,讓整體供電系統變得脆弱,再進而擴大影響範圍,例如2007年發生在美國的柴油發電廠遭駭客攻擊事件。
參與國營會資安資訊分享與分析中心(ISAC)計畫的成功大學資通安全研發中心林敬皇表示,目前台電、中油、自來水等相關關鍵基礎建設雖然還未見立即的威脅,但已可預見將來系統汰換後風險將持續增加。也因此,呼籲相關業務承辦人未來在採購新設備時應注意對於安全防護的要求。
關鍵基礎建設的脆弱,不需要高深的入侵攻擊手法。林敬皇指出,一般的網頁威脅對於這些基礎建設系統一樣存在。例如今年11月的巴西電力公司網頁也存有SQL隱碼攻擊(SQL Injection)的弱點。若真被入侵,影響範圍恐達百萬多人,可能需花2天才能修復被破壞的系統。誇張的是,消息傳出後,該網頁問題仍未在第一時間被修補。