能源與水資源是我們生活當中最重要的兩大關鍵基礎架構 (Critical Infrastructure,簡稱 CI)。近年來,這兩大產業皆經歷了一些必要的變革以因應科技的最新發展,同時也改善天然資源開採及輸送的方式。目前,這些變革正朝著連網系統的方向發展 ,尤其開始整合了工業物聯網 Industrial Internet of Things (IIoT) 技術。能源與水資源產業的持續發展,已讓個人和企業獲得更有效率、也更穩定的資源供應。然而,卻也因為如此,想要妥善保護這些關鍵基礎架構背後的系統,也變得更加困難。隨著 CI系統的漏洞不斷增加,尤其是監控與資料擷取 (SCADA) 系統人機介面 (HMI) 的漏洞,我們有必要好好檢視一下這些關鍵產業所面臨的風險。
我們經由公開來源的情報 (OSINT) 即可一窺能源與水資源產業所面臨的一些問題。藉由網際網路搜尋引擎 (主要為 Shodan) 與實體定位技術,趨勢科技找出了許許多多暴露在外且容易遭到攻擊 HMI 系統,這些全都屬於中小企業所有。這顯示了網路資安對整體供應鏈的每一階層以及每一基礎架構產業有多麼重要。
完整的調查結果與相關影像,請參考趨勢科技的完整報告:「暴露在外而可能遭受攻擊的基礎架構:能源與水資源產業」。本文將列舉幾個我們在全球各地一些能源與水資源相關產業發現暴露在外的 HMI 系統,以及這些案例將對基礎架構供應鏈帶來什麼影響。
暴露在外而可能遭受攻擊的 HMI 系統
在水資源產業,我們在全球各地都發現一些暴露在外的 HMI系統。這些系統包括各種水資源系統的監控介面, 例如:水加熱、地熱、抽水、水過濾、海水逆滲透及消毒等等。 繼續閱讀