1
◎機關維護宣導
〜漫談關鍵基礎設施保護〜
前言
「關鍵基礎設施(Critical Infrastructure, CI)」,係泛指一個國家為 了維持民生、 經濟與政府等相關公私部門之合作運作而 提供之基本設施與服 務,其中包括實體的環境、設備及以資通訊為基礎之系統,為重要社會基礎功 能所需之基礎建設。諸 如:公民營電信、電力、能源、水資源、 農業、金融、
醫療、交通、緊急救助及政府設施等。而「關鍵基礎設施保護(Critical Infrastructure Protection, CIP)」, 則代表保護關鍵基礎設施(CI)之政策 與作為,另 因「關鍵資訊基礎建設(Critical Information Infrastructure, CII)」,為支持關鍵基礎設施 (CI)所需之資訊系統,關鍵資訊基礎設施保護
(Critical Information Infrastructure Protection, CIIP),則是保護關鍵 資訊基礎設施 (CII)之政策與作為。
2001 年美國發生舉世震驚的 911 恐怖攻擊事件,恐怖組織利用網際網 路做為指揮通訊工具,以民航機分別衝撞位於紐約 的世貿大樓和華府的五角大 廈,造成慘重傷亡並癱瘓美國國土防衛及金融體系。在此震撼全球的事件之後,
世界各國無不思考國家關鍵基礎設施安全之防護;然而隨著網際網路科技的日 新月異,業已提高了攻擊行動的不可預測性,也暴露出關鍵基礎設施的弱點。
因此,如何規劃更完善的防護計畫以面對愈來愈多的挑戰與威脅,如何強化資 通訊安全的認知與教育訓練,已成為各國亟需面對的課題。
我國行政院體察世界已開發國家的規劃與發展後,深覺我國應與國際先 進國家接軌,更因 2017 年世界大學運動會(世大 運)將於我國舉行,為求能 讓世大運順利進行,早於民國 103 年 12 月 23 日頒布「國 家關鍵基礎設施 防護指導綱要」,其目的在建立各機關風險評估之觀念與技能及撰擬防護計畫之 能力,並藉由舉辦演練來驗證上述防護策略及部署是否到位,進而提升關鍵基 礎設施的持續營運韌力及深化國家關鍵基礎設施之防護能量。 「關鍵基礎設施」
被攻擊案例彙整與分析經綜整及分析近年來全球各主要國家遭受關鍵基礎設施 的攻擊,可將驅動或執行對關鍵基礎設施的攻擊者,分為以下五類,並略述於 次:
一、 國家情治機關或專業組織(Nation State)
(一)運用國家的資源對敵方工業控制系統(ICS)或數據採集與監控系統
(SCADA)之資產進行攻擊。
(二)美國與以色列雙方政府合作,發展 STUXNET 病毒,破壞伊朗核武發 展相關設施與環境,將國土安全的攻防首次提升到了網路攻擊層級;
另如真實紀錄片《零日網路戰》中揭露美國、以色列秘密合作一項名 為「奧運計畫」的網路病毒行動,而這個超級病毒,也被資安領域專
2
家稱為「網路世界裡的佛地魔」, 是一個不能說的名字等案例,均屬 此類。
二、 被攻擊組織之內部人員(Insider)
(一)組織內部之成員,因不滿工作環境或待遇及原先期待的目標與理念不 同所採取的報復行為,因彼等熟悉基礎設施的資產及其系統之弱點,
並具有較高資料存取權限,故對關 鍵基礎設施的威脅與破壞甚大。
(二)前美國中情局職員史諾登,因報國理念加入美國中情局,惟日後發現 政府監控人民情資的內幕,與其當初為國服務的精神與理念不符,便 在香港把美國「稜鏡計劃」(PRISM)的資料透漏給英國衛報及美國華 盛頓郵報,引起全球震驚並遭到美國通緝,最後只好逃到俄國尋求庇 護,即為此類。
三、國際犯罪組織(Organized Crimes)
(一) 就關鍵基礎設施的觀點而言,國際犯罪組織成員係利用「惡意軟體」
來進行有關金融領域的網路犯罪行為,與傳統所進行的自殺攻擊、販 毒、爆炸等暴力行為或恐怖攻擊不同,此類犯罪組織的核心目標為金 錢,其方法為雇用第三方犯罪組織的成員,針對關鍵基礎設施的資產 進行恐嚇與勒索,以達其目的。
(二)近期犯罪集團透過第一銀行倫敦分 行資訊系統內網遭外網入侵之資 安漏洞,遠端操控盜領現金數千萬元,即屬此類。
四、恐怖主義組織
(一)該組織以破壞關鍵基礎設施為目標,企圖對目標或受害人以外的人物 或團體造成具傷害性的心理影響,並利用傳媒曝光之機會以達到最佳 的宣傳效果,進而影響目標觀 眾及達到短期或中期的目的,並進 一 步追求長期的最終目的。
(二)2008 年大陸舉辦北京奧運期間, 相關新聞報導及體育網站成為新 型 態網路攻擊的目標,大量散布惡 意程式,藉以竊取個人或企業的機 密資料,並破壞公民營電信、電力、能源、交通等服務;此外,如倫 敦地鐵爆炸案及孟買恐怖攻擊 等案例,犯罪團體成員間利用公民營 電信進行通訊及傳播犯罪事件, 均屬此類。
五、激進駭客(Hacktivist)
(一)激進駭客的出發點是政治動機而非金錢,渠等認為某些組織跟自己 的理念不合,故去對該等組織的電腦 網路發動攻擊,以癱瘓該等組 織的 電腦網路。
(二)駭客團體「匿名者」(Anonymous), 曾於 2012 年舊金山灣區捷運 統管 理局關閉手機服務,以防止人群遊 行抗議警察在捷運上射擊 之行為時發動攻擊;104 年我國政府推動高 中課綱微調時,癱瘓包 含教育部、 經濟部、國民黨等多個網站,均屬此類。
我國應有的作為從關鍵基礎設施的攻擊案例,已凸顯出關鍵基礎設施所潛
3
藏之脆弱性,以及國家訂定相關保護措施之必要性。因此,近年來歐、美 等 各國政府均高度重視,並紛紛提供相當之預算,以加強「關鍵基礎設施 保護」 及「關鍵資訊基礎設施保 護」之措施。為達成上述目標,對「關 鍵基礎設施保護」之認知與教育訓練應為落實的基石;我國行政院國土安 全辦公室每年 聘請專家學者對約 15 個重要單位進行指定 演練及訪評,
期能發掘潛藏之脆弱性及提前找出解決或防禦的方法,惟上述單位或因單 位任務及性質不同,或因單位資源之差異,或因認知之差異,對關鍵基礎 設施 保護的定義、內涵及應有的作為尚有若干落差,經綜整相關資料後,
對前述之落差提出建議,包含「關鍵基礎設施」的威脅 範疇;「關鍵基礎 設施保護」的定義、參 與部門、層級;「關鍵基礎設施保護」各層級(國 家層級、領域層級及企業層級)業務承辦的專業單位、各層級業務落實的 標 準作業程序(SOP)、所需的資源及持 續營運之韌性與相依性;資訊分享中 心 (ISAC)、電腦緊急應變團隊(CERT)、 資安監控中心(SOC) 及資安託 管服務供應 商(MSSP)的層級、定位與職掌。
結語
關鍵基礎設施保護不僅是領域內各機 關的協同保護,亦牽涉到跨領域的合 作。 例如金融與醫療系統仰賴電力與電信以維持資訊機房、設備的運作,亦仰 賴網路 系統傳遞資訊。一旦這些底層系統失效, 將嚴重影響金融與醫療體系 的運作,而且關鍵基礎設施的任一缺口對於民眾生命財產、生態環境、經濟、
政治與國家安全均會產生重大的影響。 安全的意義是管理風險,面對變化莫 測 的大環境,能夠事先模擬各種可能面對的風險,事先防範才能快速應變、降低 損害,這對政府機關是項挑戰,更有賴於機 關首長與全體工作人員的專業與態 度。 再者,對企業而言,面對安全的態度, 等同面對危機的態度,輕忽安全 問題也會輕忽危機引發問題的廣度與深度。一銀事件為我們詮釋了,企業經營 如果只看經營數字效益,不僅安全不會做好,對社會更無法帶來實質效益。 國 際社會已就核生化武器達成有關協議,卻未曾討論影響更全面性的網路武器,
網路武器之危險遠高於核生化武器或軍備競爭,期未來能透過公開討論以建立 全民共識,避免網路戰可能帶來的嚴重後果。