翻轉資安思維與價值命題 強化關鍵基礎設施資安防護

國立中興大學資訊科學與工程系教授兼資通安全研究中心主任廖宜恩。

眾所皆知我國的資通安全管理法除定義公務機關、特定非公務機關的資通安全責任外，也特別針對關鍵基礎設施(Critical Infrastructure；CI)的資安規範多所著墨。CI指的是實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，恐對國家安全、社會公共利益、國民生活或經濟活動造成重大影響。

國立中興大學資訊科學與工程系教授兼資通安全研究中心主任廖宜恩認為，欲強化關鍵基礎設施資安防護，須先徹底改變資安思維與價值命題，一方面將「事後考慮」舊思維轉向「資安始於設計」新思維，另一方面將「資安即成本」的價值觀調整為「資安即利潤」。

此外他非常關注近期爆發之「核彈級的資安事件」，認為相當值得各界借鏡與警惕。有一幫駭客先駭入網路管理系統軟體供應商SolarWinds，將SUNBURST惡意軟體植入到SolarWinds Orion更新程式，因而感染美國的財政部、商務部、國務院、國土安全部、國防部、衛生部等多個政府單位，以及財星500大的許多企業，而身為SolarWinds客戶之一的FireEye也遭池魚之殃，其用來測試企業環境安全的紅隊評估工具，被駭客成功竊取。這起事件，無疑是駭客眼中相當完美的供應鏈APT攻擊典範。

另值得留意的，美國智庫戰略暨國際研究中心(CSIS)收集自2006年起對政府部門、國防單位、高科技公司的網路攻擊事件，以及造成超過100萬美元損失的網路犯罪事件；而台灣在2020年有4個資安事件上榜，包括5月中油及台塑遭勒索軟體攻擊事件；5月總統府內部會議文件被竊事件；8月7家半導體廠商驚爆被中國駭客入侵長達2年事件，失竊標的包含原始碼、軟體開發套件、晶片設計；以及8月中華民國政府指控中國駭客入侵至少10個政府單位、6,000個E-mail帳號竊取個資與政府情報。

至於駭客攻擊電網事件簿，自從2015年12月烏克蘭西部地區電網輸配電SCADA系統與客服主機遭受攻擊，導致225,000戶停電3~6小時以來，類似事件可說屢見不鮮。像是法國Schneider Electric中東發電廠的工控系統遭植入惡意程式、導致電廠被迫關閉；2019年3月美國加州洛杉磯郡與猶他州鹽湖城郡的電網遭到DDoS攻擊，中斷監控系統；以及2020年4月亞塞拜然的風力發電的SCADA遭不明駭客組織攻擊等等。

面對山雨欲來的關鍵基礎設施資安威脅，乃至像是SolarWinds事件這般供應鏈攻擊，廖宜恩提出呼籲。首先在物聯網及IT/OT融合趨勢下，將使CI與智慧製造面臨更大資安挑戰，業主必須有Secure by Design思維，與資安即利潤的價值命題。其次資通安全管理法實施後，資安人才與資安服務需求大增，產官學研需共同攜手打造強韌的台灣。再者台灣有許多優秀資安公司，政府機關與企業應當善用這些助力強化資安水平，並建立重視資安的文化、及深度防禦的資安策略。