凡機器都需要定期維護,這不單可確保機器不會因正常磨耗而損壞,還可做一些日常的零件更新和檢查。越複雜的機器,維護的過程也就越仔細。
在維護過程中,人員通常會需要操作該機器以及所有連接的相關管理系統,舉例來說,抽水馬達會連接自來水供應管路,以及一個負責監控和調整水壓和流量的控制系統。在日常維護時,必須先暫停供水以及相關安全措施,或者切換至另一個模式來更新或修復零件。
2016 年YouBike大當機,原因是心生不滿員工利用維修時間惡搞
2016 年台北市發生了一起攻擊案例讓我們深刻了解到,維護期間很可能就是歹徒攻擊的黃金時期。根據媒體報導,一位心生不滿的員工利用日常維護的機會,在台北市 YouBike 管理系統上安裝了惡意程式。結果所有的 YouBike 都因而無法租借,導致該公司遭受 662,910 美元的損害與營業損失。這名不肖工程師目前已遭逮捕並由台中地檢署正式起訴。(相關中文報導)
四個維護期間會發生的潛在問題
維護期間除了可能完全解除安全措施之外 (此時就連應用程式控管與白名單機制這類最基本的防護都付之闕如),還有其他可能遭到利用的潛在問題:
- 當系統維護交由第三方廠商負責時,外人就能掌握系統的存取權限。委外維護人員很可能不會遵守企業平時所遵守的安全規範,也不受原本的流程所監督。
- 老舊機器的維護既缺乏效率也不安全。有些系統仍需使用 CD 甚至 3.5 吋軟碟來進行更新。而且人員必須帶著軟體到每一台端點上進行維護,因此這些系統更新既不頻繁,方法也很老舊。
- 某些系統老到根本無法更新,只因營運需要所以還撐著。印度有 70% 的 ATM 提款機仍在使用 Windows XP,這些提款機雖然仍可使用,但卻因為眾多漏洞的而容易遭到各式各樣的攻擊。
- 有些白名單機制並未考慮到系統維護的情況。有些白名單機制只有啟用和關閉兩種設定,因此當維護人員為了安裝程式而關閉這項功能時,等於讓系統卸下防禦。然而有些白名單機制卻會考慮到系統維護的需求,可以只開放系統維護時所需的權限,其他部分則不受影響。
