核能设施领域有一个普遍的迷思,就是以为核能设施都是与公众网路隔离的,而且这足以保护它们免受网路攻击的威胁。然而,其实只要一个随身碟就能入侵核能设施,例如2010年感染伊朗核电厂的Stuxnet。
中立且非营利的国际事务顾问公司Chatham House释出《民用核能设施的网路安全:了解它的风险》研究报告,指出有鑑于核电厂向来主要注重实体的防护,再加上引进数位系统的脚步落后于其他产业,导致核能设施也较缺乏网路攻击的危机意识。
为了进行此一研究,Chatham House邀请了全球30名核子专家及网路安全专家进行讨论,这些专家来自于民间企业、政府组织,或学术机构,涵盖美国、英国、加拿大、法国、德国、日本、乌克兰及俄国,还有部份国际组织的代表。
报告指出,随著核能设施逐渐仰赖数位系统与商业软体,相关的网路攻击风险也逐渐升高。数位化的趋势再加上主事者不了解相关风险的严重性,也代表核电厂的员工也许无法理解网路漏洞的完整范围而难以适当防范潜在的攻击行动。
事实上,核能设施领域有一个普遍的迷思,就是以为核能设施都是与公众网路隔离的,而且这足以保护它们免受网路攻击的威胁。然而,其实只要一个随身碟就能入侵核能设施,例如2010年感染伊朗核电厂的Stuxnet。
Stuxnet最初的感染途径即为USB随身碟,可感染执行微软Windows平台的电脑,并检查该电脑是否连结伊朗核能设施专用的Siemens系统,然后窜改该系统的PLCs,藉此摧毁伊朗核电厂所使用的1000个离心机。外界相信,Stuxnet是由美国及以色列联手打造以抵制伊朗核子技术的精密蠕虫。然而,可透过USB随身碟与网路传染的Stuxnet最终在全球都传出灾情。
另一方面,核能设施也不全然与网路隔绝。连网所带来的好处意味著核能设施现在也可能部署虚拟私有网路或其他网路功能,但承包商或合法的第三方合作单位可能会忘了此事。
在此同时,骇客行动变得愈来愈容易进行也愈广泛,坊间很容易就能买到针对各种已知或未知漏洞的自动攻击套件。Stuxnet所使用的先进技术也不断被複製,各式搜寻引擎也能找到那些连结至网路的重大基础设施元件。
只是核能设施网路安全意外被公开揭露的数量并不多,因此并不容易评估此一问题的影响范围,可能让核能设施员工误以为相关意外真的很少。此外,相对保守且鲜少与外界分享资讯的核能设施领域也较少有机会向其他资安领域的业者学习。
总之,Chatham House的研究认为,核能设施不论是从产业特性、文化特性,或技术特性来看,在针对网路攻击的认知与防御能力都充满了挑战。例如缺乏适当的风险评估能力、技术工程师与网路安全工程师的沟通不良、不理解网路安全的关键操作程序、网路安全训练不足、缺乏紧急处理大规模网路安全意外的能力、控制系统本身就不安全、很难导入标准的IT解决方案,还有来自供应链的安全漏洞。研究亦指出,开发中国家的核能设施因资源相对较少,而使得安全风险偏高。
该报告建议核能设施产业应该要正视网路安全问题,切实评估相关风险,处理各种人为因素、推动资讯的揭露与分享、发展全球共通策略、消弭沟通障碍,以及改善安全性等。
