七成公用事業曾遭受駭客攻擊 台灣相關單位警覺心仍待加強
(2014年7月17日,台北訊)根據美國Unisys近期針對公用事業所發布的一項資安調查顯示,過去一年全球有近七成的公用事業服務供應商曾因安全漏洞而遭受營運中斷或資料外洩等意外,內容涵蓋電力、水或其他重要民生服務的供應商,但將資安列為五大優先政策的公用事業供應商卻只有28%,顯示多數單位不但資安防護投注成本不足,連防護觀念都有待加強。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬觀察國內公用事業資安防護觀念提到,台灣的政府機關與公用事業單位雖然已有資安防護的觀念,但面對不間斷的駭客攻擊與資安意外,防護能力與警覺心卻仍待加強。
杜世鵬指出駭客集團挑選攻擊目標,除了考量到攻擊後可得手利潤多寡外,攻擊的難易度也會列在考量裡,簡單來說就是越容易入侵、得手度越高的攻擊目標越會是駭客心目中的最佳肥羊,為了要得手C/P值高的企業,駭客通常會使用多種攻擊手法進行滲入,只要其中一種方式成功,企業無疑是敞開大門將機敏資料奉送給駭客。根據Unisys公布的資料顯示,有近七成的受訪公司在過去一年至少發生過一次資安意外,24%表示受駭原因是來自於內部的攻擊或是人為疏失,但只有不到兩成的受訪者表示他們已佈署並執行大部份的IT安全專案,更有高達34%的企業並無即時警示或威脅分析等能夠阻止或減輕網路攻擊災難的機制,這個調查顯示這些公用服務單位在面對鋪天蓋地而來的網路攻擊時幾乎是無招架之力,簡直就像是寶庫前連最基本的守衛都沒有,明顯凸顯警覺心與防護力嚴重不足。
杜世鵬強調,公用事業無論是水、電或其他民生服務等,都是民眾生活必須且仰賴度極高,平常不覺得重要的服務一旦因攻擊而造成服務停擺,不只會造成日常生活的困擾,更會嚴重影響民眾對於公用事業的信任感。雖然近年來政府機關持續強化資安防護與員工觀念,類似事件並不常見,但駭客攻擊有如變形蟲般,時時刻刻都在嘗試可能成功的攻擊途徑,加上雲端時代、科技轉型帶來便利的同時也可能創造更多攻擊漏洞,日前新聞披露戶政系統承包商再將系統外包給其他廠商引起軒然大波,因為外包商若一個設定上的疏失或刻意開啟後門,就等同於雙手奉上2300萬人的個資。杜世鵬表示,程式的開發無法完美無缺,但若公用事業服務單位具備完善的端點安全防護,即使有漏洞也能因為有完整的資安防禦而不受駭。建議公用事業單位可參考ISO27001:2013規章,進行安全風險評估及改善,不只降低受駭機率,也能避免因廠商、員工、系統問題而造成營運中斷或資料外洩等意外。