本文由深受美国98%核电厂信任的OPSWAT技术顾问,从「能源安全」的角度,分享世界各国核电厂的信息安全防护困境及采用的解决方案,并提出台湾核电厂应注意的信息安全问题。
关键基础设施网路攻击增加300%,能源业成新兴目标
在东南亚,有报告指出在2019年至2023年间,针对关键基础建设的网路攻击会增加300%,其中能源设施是最受攻击的目标之一。全球超过56%的发电厂在过去三年曾遭遇网路事故,突显出强化网路安全措施以防御勒索软体、恶意软体和零时差威胁的迫切需要。
而根据关键基础设施网路攻击报告,能源产业是恶意份子的新兴目标,被攻击的比例达到了惊人的39%,是第二大最常被攻击的行业——关键制造业(11%)和运输行业(10%)的三倍多。
欲知更多技术细节,请点 11/27 第八届物联网安全高峰论坛
核电安全后果不容轻忽,各国核电设施怎么进行信息安全防护?
各国专家都建议核能设备的资料网路应该采用最高阶别的网路安全技术,OPSWAT身为服务美国98%核电厂的信息安全解决方案公司,深谙核电厂的风险与内部合规性需求。
位于苏格兰的DSRL核能机构,是受英国核退役管理局(NDA)管辖的营运公司之一。英国Dounreay核能机构经过半世纪的服役,该机构正处于退役阶段。
过去,Dounreay依赖过时的Sheep Dip系统,只有单一防病毒引擎,且难以消化大量外部档案,耗时又耗人力。
Dounreay核能机构之后改采技术堆叠解决方案,横跨IT与OT系统,增强超越传统防毒和端点安全解决方案的高阶档案安全需求。例如OPSWAT MetaDefender Kiosk解决方案,就能让第三方设备商的档案在进入Dounreay内部网路前就先扫描USB设备,以防止网路攻击。
位于斯堪地那维亚的核电生产商经营多座发电厂,从核能设施的设计、采购到核废料处置都是他们的业务范围。
核电厂营运商必须采用多层安全协定,并符合严格的法规标准,因此,在外部装置的档案要进入核电厂内部的空气隔离区时,必须确保该装置是完全可信赖,否则将会带来巨大的网路安全风险。过去,本案例的生产商会请外部厂商先安装主动扫描程式,扫描该装置的安全性。然而,这样的做法过度依赖单一引擎,对新的未知威胁侦测能力有限,效率不彰,且传统装置常常无法使用。
为了解决此困境,本案例的生产商采用OPSWAT MetaDefender Drive解决方案,能够主动侦测并移除有害威胁,针对新、旧的设备也具备有良好的相容性。其内建的档案型弱点侦测评估,以及多防毒引擎扫描技术,能大幅提升第三方厂商协作的安全性。
谈能源问题,先谈信息安全防护力!
由以上国外案例可以得知,由于核能发电厂的特殊性质,内部隔离网路的安全性不容一点错误。因此战争时期,比起大规模轰炸核电厂,若攻占网路系统、外部设施的传输系统,将会是更快速、更直接的方式。即使并未导致大规模辐射外泄,一旦系统遭受攻击,外部设施与发电系统无法正常运作,核电也难以作为台湾的紧急用电方案。
综上所述,我认为台湾若是要找到具备抵御冲击、具备快速恢复的用电方案,那讨论台湾的核电厂是否拥有足够的「信息安全防护能力」,才是问题的根本。
不论是战争或一般时期,增强随时可能遭受攻击的信息安全防护系统,才是保护如核电厂这样的关键基础设施的关键。
