資安法規範了關鍵基礎設施及關鍵基礎設施服務提供者的資安準則，在八大關鍵基礎設施類別中，多與民眾生活息息相關，政府部門也會定期針對相關單位做資安檢測。安碁資訊從2019年開始也接受國營會的委託，針對多個重要關鍵基礎設施的廠站的OT系統做資安檢測。

安碁資訊資安長顧寶裕表示，該公司在2020年針對六個提供關鍵基礎設施服務廠站的工控系統進行檢測，其中，在六大弱點項目中，暴露易遭攻擊服務的比例高達35%，其次為暴露不安全工控協定（16%）和設備使用預設密碼（15%）。

工控系統成為駭客新興鎖定的攻擊標的

顧寶裕表示，關鍵基礎設施的特色在於：需要很長的時間才能夠建構完成，一旦發生事故，很容易帶來重大影響，例如國家安全、生命健康、環境污染等。他說，該公司過去十年以來，持續專注在能源、水資源和交通等工控系統的安全性，對於關鍵基礎設服務提供者所使用的關鍵資訊基礎設施保護（CIIP），除了人身安全之外，也包含可靠度、健全性、可維護性以及資訊安全在內。

過往這些提供關鍵基礎設施服務的廠區為了達到穩定、持續生產的目的，大量採用各種工控系統（ICS），像是PLC（Programmable Control Logic）、DCS（ Distributed Control System）、DAS（Data Acquisition System）和SCADA（Supervisory Control And Data Acquisition）等；而這些工控系統則是由包括壓力溫度電量、含硫量、速度、位置的感知元件、控制伺服器、資料倉儲、作業人員的工作站電腦，以及控制網路等組成。

顧寶裕指出，有越來越多駭客注意到工廠端的系統是脆弱的，他們可以透過病毒與網路進行攻擊，像是：美國曾經爆發天然氣工廠遭到駭客攻擊；伊朗攻擊以色列淨水廠的加藥系統，多加一點藥劑讓水中有毒物質比例增加，以色列發現伊朗的手法後，也以牙還牙，回擊伊朗的關鍵基礎設施；臺灣今年五月爆發的中油公司遭到駭客勒索病毒的攻擊等。這些事件的發生，都證明提供關鍵基礎設施服務的廠區系統安全很重要，也很難任意中斷服務，舉例來說，一旦臺中發電廠停工，全臺灣的供電量立馬減少12%，就必須進行限電措施。

各種OT風險中，RDP風險是疫情後的新興攻擊管道

因為武漢肺炎疫情爆發，也衍生許多OT風險，RDP（Remote Desktop Protocol，遠端桌面協定）也成為駭客最成使用的管道之一，風險驟增。

根據Claroty公司揭露的《 上半年度工業控制系統風險與漏洞報告》，2020年上半年工業控制系統中，有70%以上的漏洞都可以遠端利用，像是遠端執行程式碼RCE占49％，讀取應用程式資料占41％，導致阻絕服務DoS占39％，以及逃避資安防護機制占37%。此外，若是將美國ICS-CERT公告的漏洞與2019年相比，水處理部門漏洞增加122.1%；關鍵製造業漏洞增加87.3%；能源部門則增加58.9%。

從相關數據報告中，我們的確發現工業控制系統的風險大增，但相關關鍵基礎設施服務提供者，真的已經做好面對相關工業控制系統風險的準備了嗎？根據顧寶裕的觀察，駭客的攻擊目標轉移到OT，過去是資料竊取，未來可能會透過劫持、操作關鍵基礎設施的控制系統和邏輯控制器（PLC），導致實體系統發生損害和生產中斷。

他舉例指出，像是駭客可以透過先預錄一段正常生產的畫面，等到駭客中斷生產時，因為監視器顯示的是事先預錄的正常生產畫面，無法即時發覺到生產已經中斷。他說：「關鍵基礎設施服務一旦中斷，往往會造成許多民眾生活的不便或中斷，甚至可能造成社會秩序大亂，這就是關鍵基礎設施資訊系統之所以重要的原因。」

面對OT網路風險，不能以IT風險相同框架視之

許多公用事業的業者都同意，OT網路對業務帶來的風險比IT網路環境還大，主要是因為OT環境的獨特性，像是可用性、可靠性和安全性等，而這些都讓業者更為擔心。

臺灣有許多關鍵基礎設施服務提供者都是國營事業，主管機關都是經濟部國營事業委員會（以下簡稱為國營會），顧寶裕表示，國營會在2008年開始針對相關的廠區打造ISAC（資安情資分享中心），剛開始安碁拜訪廠長等相關主管時，他們口徑一致的說：「廠區裡面都是採用實體隔離，沒有和外網連接，所以不會有資安問題。」

但實際上並非如此。他也以多年來參與ICS的經驗，來歸納OT資安的盲點。首先，因為營運相關資產缺乏可視性，導致無法做到自動偵測及評價資產，也無法透過比對弱點，針對系統安全賦予重要性、並落實在工作流程上；也因為缺乏可視性管理，就無法從既有的工作流程進行強化、維護，以及弱點緩解；而由於系統缺乏足夠的可視性，也造成難以做到持續監視及逐漸改善資產的韌性。

其次，OT系統也逐漸受到駭客重視，隨著爆發許多全球大規模攻擊或工業安全事故，也出現越來越多的零時差攻擊，讓OT系統的資安維護難度大增。第三，缺乏針對資安教育訓練與人員的投資；第四，誤以為IT資安的防護適用OT；第五，欠缺人力，包括人員招募和建立網路安全技能都有困難。

最後，相關單位針對資安事件的應變速度都很慢，也欠缺資安事故的應變計畫。根據統計，針對惡意軟體的攻擊， 有35%的組織平均要72天才會採取應變作為，較大型組織平均62.6天、較小型組織平均88.5天，才會採取相關的資安應變作為。

事實上，顧寶裕表示，許多人面對OT資安風險時，都有氣隙（Air Gap）的迷思，大家通常都會認為，資安威脅都是透過網路連線才會發生，不管是網路釣魚、勒索軟體感染，或是透過供應商網路滲透等資安風險，只要不連網就沒有資安風險。但氣隙網路帶來的安全幻覺，也容易因為欠缺警覺性，而有許多違反資安政策的作為，例如，有人會透過USB隨身碟傳輸檔案，也將因此造成病毒的傳染。

國營會連兩年進行OT風險檢測，2020年暴露易遭攻擊的服務風險最高

也因為關鍵基礎設施攸關民生日用，國營會也在2019年針對9個廠站、227個IP的五種工控協定：Modbus、Ethernet/IP、 BACNet、omron FINS及Siemens S7進行網路檢測，檢測結果發現，有64％的OT網路有暴露未加密服務設備，有13％的OT網路採預設密碼，有11％的網路暴露工控協定。

顧寶裕表示，到了2020年，國營會也再度針對6個關鍵基礎設施的十種工控協定進行檢測，包括：Modbus、 Ethernet╱IP、BACNet、Omron FINS、Siemens S7、DNP3、IEC-104、GE SRTP、HART-IP和IEC 61850等工控協定。

他進一步指出，就該次的檢測結果發現，最大的OT資安風險，就是暴露易遭攻擊的服務，比例高達35%；其次則是暴露不安全工控協定，比例則有16%；第三則是有15%的OT設備使用預設密碼；其餘則包括：暴露工控設備（14%）、暴露網路設備管理介面（12%）和暴露遠端桌面服務（8%）。

此外，他也說，行政院在2017年要求八大關鍵基礎設施服務提供者打造ISAC（資安情資分享中心），被指定的八大關鍵基礎設施服務提供者一旦有發現任何資安漏洞與風險，一定要按照規定進行通報，在2020年五月爆發中油遭到駭客勒索軟體的威脅後，行政院也有第二波的關鍵基礎設施指定程序，行政院也針對之前指定的關鍵基礎設施服務提供者，必須在2020年底前完成二線的OT-SOC（資安監控中心）。

借鏡NIST的資安框架，評估ICS資安風險

但是，要針對OT系統做相關的資安風險評鑑，從威脅、弱點到帶來的衝擊，以及威脅事件發生的機率，或者是評估ICS潛在事故對組織任務的衝擊，同時考慮到對實體程序和系統帶來的資安衝擊，以及對人身安全(Safety)、受控過程、範圍更大的實體環境、ICS本身的實體影響等，都不能單純憑心意臆測。顧寶裕認為，借鏡美國NIST SP800-82 r2的ICS資安風險評鑑框架，是一個好的切入點。

OT資安防護實務，同樣可以從識別、保護、偵測、應變和回復等五個階段著手。從識別階段來看，主要是識別有哪些資產？風險在哪？保護階段可以針對實體環境保護、網路區隔、存取控管、弱點管理、資安組態、測試演練，以及資安教育訓練等。偵測階段包括：滲透測試、異常偵測、情資分享、異常監控，以及情資的綜整分析。如何應變？可以從通報平臺、應變組織、應變計畫，以及應變演練做完善。最後的回復階段包括：備份備援、回復計畫、能力評估、請求援助，以及供應商評估與管理等。

他以識別風險為例，未來將有許多新興科技持續進入企業和工廠，不管是人工智慧發展帶來的DeepFake詐騙的風險，或者是中國研發的5億像素人臉辨識AI相機等，進入企業組織的同時也帶來相對應的風險，如何在一開始就識別出相關風險，也有賴落實資產盤點及風險評估。

能源領域工控系統的Modbus協議出現漏洞，造成資安風險

顧寶裕以該公司在2019年，針對能源領域進行資產盤點與風險評估的經驗為例，也發現許多改善事項。

技術面風險包括：OT網路邊界經網際網路；OT主機服務開放網際網路存取；遠端遙控軟體未管控或弱密碼；防火牆管理介面開放存取；OT與OA網路未區隔；使用弱密碼或預設密碼／服務；使用有弱點且無法修補的作業系統，或是使用無線網路但管控不足；資安設備與監控系統未校時，導致時間有落差；以及實體環境保護或監控不足等。

他說，之前在進行OT系統資安檢測時，便在二個監控系統中發現惡意程式，一個是被入侵作為跳板外，另外一個則是過去建置系統時所留下的後門程式。

管理面風險可以從管理和人員兩方面來看，缺乏資安政策、規範等管理制度，或是未落實執行OT相關資安管理制度；甚至是對於委外資安管理要求不足等，都是管理不當帶來的風險；在人員面的風險主要來自於OT人員的資安認知教育訓練不足，以及資安人力不足。

此外，顧寶裕表示，曾經針對某廠牌SCADA的網路架構與封包進行研究，也發現工控系統常見的弱點，像是Modbus協議多未考量安全性，經常出現功能碼濫用、緩衝區溢位等問題。

另外，Modbus協議缺乏加密，也容易遭受中間人攻擊。至於可能的資安威脅與攻擊，除了駭客可以利用防火牆不當設定、已知產品漏洞等，也可以從IT環境橫向移動到OT環境；或者是駭客在工業控制系統環境中，利用Modbus TCP協議的固有設計瑕疵，竄改Modbus TCP封包數值、重送封包，導致操作人員誤判而開啟閘門，像是水庫的閘門如果被駭客控制，在不對的時間開啟閘門（例如洩洪）的話，都可能造成民眾生命與財產的損失。

2021年將偏重IT與OT系統的實機攻防演練

他說，該公司也針對工控系統進行滲透測試，常見的風險包括協定弱點，像MMS（Manufacturing Message Specification）協定未設定驗證的話，不用密碼即可登入；還有傳輸資料過程未加密，可以直接查看明文訊息，也是風險之一。另外，像是中間人攻擊，區網交換器未設定防護，可執行中間人攻擊，取得兩臺主機傳輸的資料則是進行OT系統滲透測試時，第二種常見的資安風險。

由於OT資安風險越來越高，顧寶裕表示，從2021年開始，政府資安的重點將偏重於IT/OT實機攻防演練，演練平臺的建置包括：網路環境、OA的IT環境、廠區的OT環境，其中，廠區的OT環境除了訓練用的ICS工控系統、閒置設備，以及Testbed測試平臺，也可以利用歲修停機時進行紅藍隊的攻防演練。文⊙黃彥棻