本文由深受美國98%核電廠信任的OPSWAT技術顧問,從「能源安全」的角度,分享世界各國核電廠的資安防護困境及採用的解決方案,並提出台灣核電廠應注意的資安問題。
在東南亞,有報告指出在2019年至2023年間,針對關鍵基礎建設的網路攻擊會增加300%,其中能源設施是最受攻擊的目標之一。全球超過56%的發電廠在過去三年曾遭遇網路事故,突顯出強化網路安全措施以防禦勒索軟體、惡意軟體和零時差威脅的迫切需要。
而根據關鍵基礎設施網路攻擊報告,能源產業是惡意份子的新興目標,被攻擊的比例達到了驚人的39%,是第二大最常被攻擊的行業——關鍵製造業(11%)和運輸行業(10%)的三倍多。
欲知更多技術細節,請點 11/27 第八屆物聯網安全高峰論壇
各國專家都建議核能設備的資料網路應該採用最高階別的網路安全技術,OPSWAT身為服務美國98%核電廠的資安解決方案公司,深諳核電廠的風險與內部合規性需求。
位於蘇格蘭的DSRL核能機構,是受英國核退役管理局(NDA)管轄的營運公司之一。英國Dounreay核能機構經過半世紀的服役,該機構正處於退役階段。
過去,Dounreay依賴過時的Sheep Dip系統,只有單一防病毒引擎,且難以消化大量外部檔案,耗時又耗人力。
Dounreay核能機構之後改採技術堆疊解決方案,橫跨IT與OT系統,增強超越傳統防毒和端點安全解決方案的高階檔案安全需求。例如OPSWAT MetaDefender Kiosk解決方案,就能讓第三方設備商的檔案在進入Dounreay內部網路前就先掃描USB設備,以防止網路攻擊。
位於斯堪地那維亞的核電生產商經營多座發電廠,從核能設施的設計、採購到核廢料處置都是他們的業務範圍。
核電廠營運商必須採用多層安全協定,並符合嚴格的法規標準,因此,在外部裝置的檔案要進入核電廠內部的空氣隔離區時,必須確保該裝置是完全可信賴,否則將會帶來巨大的網路安全風險。過去,本案例的生產商會請外部廠商先安裝主動掃描程式,掃描該裝置的安全性。然而,這樣的做法過度依賴單一引擎,對新的未知威脅偵測能力有限,效率不彰,且傳統裝置常常無法使用。
為了解決此困境,本案例的生產商採用OPSWAT MetaDefender Drive解決方案,能夠主動偵測並移除有害威脅,針對新、舊的設備也具備有良好的相容性。其內建的檔案型弱點偵測評估,以及多防毒引擎掃描技術,能大幅提升第三方廠商協作的安全性。
由以上國外案例可以得知,由於核能發電廠的特殊性質,內部隔離網路的安全性不容一點錯誤。因此戰爭時期,比起大規模轟炸核電廠,若攻佔網路系統、外部設施的傳輸系統,將會是更快速、更直接的方式。即使並未導致大規模輻射外洩,一旦系統遭受攻擊,外部設施與發電系統無法正常運作,核電也難以作為台灣的緊急用電方案。
綜上所述,我認為台灣若是要找到具備抵禦衝擊、具備快速恢復的用電方案,那討論台灣的核電廠是否擁有足夠的「資安防護能力」,才是問題的根本。
不論是戰爭或一般時期,增強隨時可能遭受攻擊的資安防護系統,才是保護如核電廠這樣的關鍵基礎設施的關鍵。
欲知更多技術細節,請點 11/27 第八屆物聯網安全高峰論壇