俄國電網資安遭駭客攻擊事件對我國能源供應穩定帶來的啟示
摘要
紐約時報於6月15日報導,美國網戰司令部(United States Cyber Command, USCC)在俄羅斯的電網內植入具攻擊性的惡意程式,作為川普政府針對俄羅斯於美國選舉期間散布假新聞與進行駭客工作的回擊[1]。
俄羅斯普丁總統的發言人,Dimitri S. Peskov則否認此項傳聞屬實(a hypothetical possibility),並強調俄羅斯的重要經濟基礎設施慣常遭受此類來自境外的網路攻擊,故早已建有防備對應機制,致使國內民生活動不受重大衝擊。但此類攻擊恐會升高美俄間的網路戰爭[2]。
另外,俄羅斯聯邦能源部亦發出聲明,強調俄羅斯境內電網具備高度安全性,此類關鍵基礎設施均與境內國防系統(State Defense System)連線,「運用俄羅斯的科技與設備,系統性且成功地消除此類(資安)風險」[1] 。
紐約時報報導指出能源供應網路已成為近年國際角力的新戰場。按照兩位不具名的美國官員指出,美國川普總統於去(2018)年度與議會達成共識後,所簽署的國防授權法案(National Defense Authorization Act),令USCC可在未經總統授權下在電腦網路上執行隱蔽軍事活動(clandestine military activity on computer network),使得川普總統未必收到所有相關細節之匯報。
評析
按照世界經濟論壇(World Economic Forum, WEF)所發行之「2019全球風險報告」,列舉2019全球可能面對的主要風險包括:極端天氣事件(如水災、風暴)、重大天然災害(如地震、海嘯)、重大數據詐騙、竊取、或大規模網路攻擊等,詳見下圖一內右上角第一象限。基於此報告,英國標準協會(British Standards Institution, BSI) 更進一步補充,提到科技層面中包括資訊安全與網路安全、物聯網IoT安全、隱私保護、營運持續(意指非預期之營運突發中斷事件之韌性能力),均為其所辨識之後續風險重點所在。
圖1、世界經濟論壇2019全球風險概況 [3]
.png)
美國與俄羅斯之間以網路資訊戰對彼此的內政、基礎建設相互攻擊可追溯至2015年,其後各年均有所動作,且攻擊力道不斷升溫,從駭取政府內部機敏性信件、社群平台散播假新聞操作輿論,到針對關鍵基礎設施資安漏洞進行攻擊等,詳見下表1。事實上,俄羅斯早在2015年就疑似曾以釣魚郵件等簡單方式成功癱瘓烏克蘭境內的27間變電所的電網運作[7]。
表1、美俄近年網路資訊戰交鋒沿革 [1][4][5][6]
|
發生時間 |
事件簡述 |
|
2015 |
俄羅斯駭客攻擊白宮電腦具機敏性資料、以及國務院的郵件系統。 |
|
2016 |
俄國政府運用大數據情蒐,掌握美國特定族群選民閱聽偏好,操作相關議題激起對立,企圖透過社群平台影響美國大選。 |
|
2018 |
美國聯邦調查局(Federal Bureau of Investigation, FBI) 發布正式警訊:俄國駭客針對美國境內七個州、約數十個變電站、核電廠、淨水處理廠等關鍵基礎建設進行惡意攻擊。 |
|
2019 |
紐時報導:美國USCC提升網路資訊戰反擊力道,駭入俄羅斯電網,植入電腦代碼。 |
.png)
能源關鍵設施的資安漏洞對於一國內部之能源安全會有如何的影響?以前述2015年烏克蘭所遭受的攻擊為例,攻擊發生後當地約有共225,000用戶面對供電中斷達數小時之久。該次惡意攻擊甚至同步以自動撥號軟體癱瘓相關能源業者的客服中心,使部分用戶無法反映停電情狀,延遲系統復原進度,為該區域供電韌性帶來負面影響。
若我國超高壓變電所、一次變電所等設施(如圖3所示),因資安漏洞而癱瘓供電,甚至針對客服熱線攻擊,將破壞我國各區域內各變電所之供電韌性,致使我國供電可靠程度產生明顯的負面影響。
圖3、台灣電網電廠分布示意圖[13]
.png)
截至今日為止,我國未曾因資安漏洞而遭遇大規模的能源/電力供應中斷危機。以其他國家前車之鑑,基礎能源設施的資安攻擊,對我國民生衝擊恐將不輕。爰此,我國自2017年起,即於前瞻基礎建設之政策中,由行政院資安處提出與第五期國家資通安全發展方案(106-109年)連接的「強化國家資安基礎建設計畫」。此計畫側重於國家八大關鍵基礎建設如:能源、水資源、交通運輸、銀行等金融、資通訊、緊急醫療、中央與地方政府、高科技園區等設施之資安防護,建立關鍵基礎設施領域之資安訊息分析分享中心、資安通報處理平台及資通安全中心等應變機制,預期將可提升對關鍵能源基礎設施資安事件之預警、監控、應變和處理能力。此外,能源局也持續執行資安防護計畫,強化我國民營能源關鍵資訊基礎設施之資安防護能力,主要措施包括如下:
滾動式精進「民營能源資安資訊分享與分析平台」。
擴充情資資料庫。
執行民營能源關鍵設施資產盤點。
風險評估修正及輔導作業。
規劃建立民營能源領域電腦緊急應變小組(CERT)等。
持續辦理教育訓練及推廣說明會宣導措施。
本研究建議能源局可思考將資安議題納入風險管理業務中,以強化局內各組室於執行各項業務時之資安風險意識與控管[10][11][12]。
參考資料
[1]Nechepurenko, I. (2019). Kremlin Warns of Cyberwar After Report of U.S. Hacking Into Russian Power Grid. https://www.nytimes.com/2019/06/17/world/europe/russia-us-cyberwar-grid.html
[2]BBC News. (2019). US-Russia clash over power grid 'hack attacks'.https://www.bbc.com/news/technology-48675203
[3]WEF (2019). The Global Risks Report 2019 14th Edition. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
[4]Dlouhy, J. and Riley, M. (2019). Russian Hackers Attacking U.S. Power Grid and Aviation, FBI Warns. https://www.bloomberg.com/news/articles/2018-03-15/russian-hackers-attacking-u-s-power-grid-aviation-fbi-warns
[5]Perez, E. and Prokupecz, S. (2019). How Russians hacked the White House - CNNPolitics. https://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/index.html
[6]Sanger, D. (2019). Putin Ordered ‘Influence Campaign’ Aimed at U.S. Election, Report Says. https://www.nytimes.com/2017/01/06/us/politics/russia-hack-report.html
[7]Bershidsky, L. (2019). Russia's Power Grid Is an Easy Target for U.S. Hacking. https://www.bloomberg.com/opinion/articles/2019-06-18/russia-s-power-grid-is-vulnerable-to-u-s-attacks?srnd=cybersecurity
[8]Fickling, D. (2019). Cyberattacks Make Smart Grids Look Pretty Dumb. https://finance.yahoo.com/news/cyberattacks-smart-grids-look-pretty-082619950.html
[9]Geni.org. (2019). Map of Russian Electricity Grid - Russia - National Energy Grids - Library - GENI - Global Energy Network Institute. https://www.geni.org/globalenergy/library/national_energy_grid/russia/russiannationalelectricitygrid.shtml
[10]李欣芳(2019)。八大基礎建設將強化資安防護。https://news.ltn.com.tw/news/focus/paper/1026114
[11]行政院資通安全處 (2019)。前瞻基礎建設-數位建設 強化國家資安基礎建設計畫(核定版)。 https://nicst.ey.gov.tw/Page/7AB45EB4470FE0B9/f73e1bed-375e-49a1-915d-db6638e7bf53
[12]科技新聞通訊社編輯部 (2019)。能源局1,292萬續推PE-ISAC平台,提升基礎設施資安。
[13]台灣電力公司 (2019)。電廠電網分布圖。 https://www.taipower.com.tw/tc/page.aspx?mid=37