蘋果筆電代工廠廣達,遭駭客集團REvil竊取資料,要求支付5000萬美元(約合新台幣14億元)贖金一事,引發外界高度關注,也讓資訊安全,再度成為熱門議題。
日前,在大同大學資工系、台灣數位鑑識發展協會(ACFD)和環奧國際驗證公司(TCIC),共同主辦的「工業控制系統資通安全論壇」上,民眾黨立委高虹安示警,廣達遭駭客集團勒索,這類事件所影響的,不僅是製程機密,甚至可能使科技產業供應鏈,面臨「被轉單」的風險。
勒索病毒造成的危害 恐比想像中嚴重
高虹安表示,從廣達案例可看出,產業界的工控系統,是資安層級更高的問題;自2013年4月,德國在漢諾威工業博覽會,喊出「工業4.0」(Industry 4.0)概念後,各種系統陸續從單機走向互聯、由封閉走向開放、從自動化走向智慧化,「某種程度上,開始有了讓這些駭客、惡意程式入侵的破口。」
「去年一整年,我透過私下訪談得知,光是去年有『中標』,也就是中了駭客勒索病毒的上市櫃廠商,就有15家以上。」高虹安直言,勒索病毒造成的危害,恐比想像中更多、更嚴重。
▲高虹安出席「工業控制系統資通安全論壇」。(圖:取自高虹安臉書)
高虹安稱,早在4月12日,就有駭客圈友人透露,已經在暗網上,看到廣達被駭的資料,「(蘋果產品)設計圖是慢慢地被洩露出來,一開始看到的,只是尺規,還沒有到關鍵設計,但後來丟出來的,就是之前沒讓人知道的新設計。」
台北科技大學資訊與財金管理系助理教授魏銪志,在論壇中列出一系列駭客勒索案例,自去年11月以來,包括仁寶、研華、鴻海、宏碁,以及廣達等多家知名企業,都成了駭客勒索對象;其中,被勒索金額最高的,是宏碁和廣達,都是5000萬美元,且皆為駭客集團REvil所為。
駭客集團大小通吃 「中標」業者低調處理
魏銪志形容,近兩年來,駭客盯上的企業,「基本上被當作提款機」,且不只大企業,「他們大小通吃,我曾提醒某些業者要小心,結果他們說『早就中了』,只是自己處理掉了。」
「在台灣,無論資安相關政府預算,或人才培育,都還不是企業界真正想要的。」高虹安說。
在駭客勒索猖獗的情況下,高虹安認為,企業最需要的,是具備資安防護能力的人才,以及如何在企業內部執行漏洞檢測、攻防演練,「政府在相關法令、預算上,都有可以再強化的地方。」
Schematics stolen from #Apple supplier Quanta Computer by ransomware gang "#REvil" seemingly confirm that MagSafe, an SD card slot, and HDMI will be coming to a future MacBook Pro. https://t.co/HRm5j5XfpI pic.twitter.com/GRbjrTuAUL
— AppleInsider (@appleinsider) April 21, 2021
▲駭客集團REvil曝光蘋果產品設計圖,還囂張地添加浮水印。
對於高虹安的看法,經濟部工業局長呂正華回應道,他在推動智慧製造的時候,也會要求提供資安防護,「所以在供應鏈串流,或是在推智慧製造的升級補助計畫的時候,我們會要求最少7%以上的經費,要用於資安相關工作,這有助間接帶動國內資安業者和實際應用業者,去做一個連結。」
呂正華強調,資安即國安,近年來,政府透過3個步驟,提升物聯網(IoT)產品資安品質。首先,建立資安標準,強化IoT產品設計,使之符合資安要求;其次是健全資安檢測認證、驗證制度,確保產品資安品質;再者,是資安標準的國際推廣,藉以串接國外拓銷管道。
工控領域挑戰多 攻防演練場域難尋
值得注意的是,經濟部資訊中心主任馬正維指出,對國內資安業者來說,工控系統可能是個相對不熟悉的領域,「因為你根本找不到場域,可以去做測試。」
「工控系統相關設備都貴,你很難找到一個適合攻防演練的工控場域,所以,這部分,他們(資安業者)是陌生的。」馬正維解釋。
高虹安呼籲,在企業生產力因科技而顯著提高的當下,如何提升工控系統所屬領域的資安防護,已成當務之急;且不只工控系統,包括牽涉個人財產權的個資,甚至是國家關鍵基礎建設,其資安問題,都值得各界重視。