作者： Raimund Genes（趨勢科技技術長）

 

 

 

 

無論我到哪裡似乎都會聽到「重要」系統遭受攻擊。今年早些時候，人們在談論飛機是否可以被駭客攻破。我們也談過智慧化電網是否會被駭客攻擊。就在一周前LOT波蘭航空幾乎完全被分散式阻斷服務攻擊（DDoS）打趴。相關報導:LOT波蘭航空地面操作系統遭駭造成航班無法起飛

許多案例裡的重要系統都是用現成的開放原始碼軟體開發而成。我大約在十年前說過開放原始碼軟體比較安全。雖然這被證明在絕大部份時候是對的，但最近的問題（如Heartbleed和Shellshock）已經說明開放原始碼軟體也有其問題。

非技術人員可能會問：「為什麼之前沒有人注意到這些問題？難道我們軟體開發人員太懶了？難道開發人員忘記如何開發安全的應用程式？」基本上他們是想問軟體社群：我們為什麼會捅這麼大的婁子？

要開發安全的程式碼在大多數情況下都很困難，不幸的是許多開發人員都沒有將其視為優先。一個遊戲或瀏覽器並不安全是一回事，雖然已經夠糟糕的了。但如果電廠的部分SCADA設備出問題那就是另一回事了。而如果醫療設備被駭而危害到病人又是另外一回事。

隨著智慧型設備越來越普遍，而且被用在了重要用途上，軟體開發者必須明白他們對確保自己軟體安全負有更大的責任。或許相關產業的監管機構需要建立新法規來包含軟體安全！看看不良軟體會造成多嚴重的後果就知道了，這想法並不像聽起來那麼瘋狂。

同樣重要的是，我們需要決定什麼需要保護和什麼需要連網。比方說，人們不斷地說：智慧化電錶比較安全也對電力網有幫助。這可能沒錯，但會有什麼樣的後果？誰控制這些設備？誰有權存取這些數據？

如果真正重要的設備會被連上網路，就需要加以適當地防護。所用的軟體必須遵循最佳實作來開發，並且強化安全來防禦攻擊。也必須落實用「黑箱」方式加以測試，來確認這些重要系統可以對抗已知漏洞和攻擊。

越來越多重要系統會在不久的將來連上網路。軟體產業必須負責行事，確保我們不會重蹈過去的安全錯誤 – 帶給這世界大量的嚴重後果。

＠原文出處：Defending Critical Systems: Does It Have To Be “Smart”?

 

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接