2023年春節前夕,台北市長蔣萬安視察北捷行控中心。行控中心就等於運輸系統的大腦,任務從搜集與監控轄下路線的道路狀況,到做出即時反應等,是控管交通流量的關鍵單位。
2017年7月,有"網路作戰部隊"之稱的國防部資通電軍指揮部(以下簡稱資通電軍)正式成立,成為陸、海、空三軍外的第四軍種,更是台灣唯一兼具攻守一體特性的軍事網路安全單位。總統蔡英文在致詞時強調,台灣國防將全面進入資訊作戰時代,資通電軍更肩負保護國家機密和防護國家"關鍵基礎設施"(Critical Infrastructure, CI)的重任。
為了落實蔡英文交付的任務,2017年,一場模擬"關鍵基礎設施"遭受駭客攻擊的機密演習正式登場。
根據《報導者》取得的資料,這場以攻擊"行控中心"和"煉油廠"為焦點的機密演習,是資通電軍成軍後,首次被納入危機處理隊伍的重要演習。其目的有二,一是演示關鍵基礎設施遭受攻擊的嚴重後果,二是將中國駭客的威脅,清楚展現在總統眼前。
駭客攻擊關鍵基礎設施的效果:低調、緩慢且毀滅性十足
台灣國道一號桃園段,為行控中心控制的重要區段。行控中心一旦受到駭侵,將造成交通嚴重癱瘓。(台灣高公局第一新建工程處油管視頻截圖)
演習的上半場,中國支持的駭客組織發起第一波攻擊,攻擊者成功入侵交通部高速公路局的"交通控制中心"並取得控制權後,造成全台灣8條國道、12條快速公路和周遭交通全數停擺的大型癱瘓。堵在路上的駕駛人們謾罵,救護救災車輛無法通行,緊接著股市迎來劇烈波動。駭客組織接著攻入台灣各媒體的後台進行第二波攻擊,多數新聞版面被置換為夾雜中國用語的標題:"若再冥頑不靈,將發動黑客愛國陣線,薄施懲戒。"
直至資通電軍出動,赴各地交控中心檢測出駭客所使用的惡意程式,並且將系統重置後,全台交通才得以恢復正常。但從入侵開始到事件結束,已經將近24小時,帶來數千萬元的經濟損失和賠上數十條人命。
演習的下半場,則是一場更為慘烈的事故,這次駭客將箭頭瞄準煉油廠。
在間諜手法與惡意程式的串連下,駭客成功侵入煉油廠內部網路,將病毒注入到連接實體機器與數位信號的"可程式化邏輯控制器"(PLC),導致控制冷卻注水的工業控制閥門停止運轉,煉油槽異常升溫,紅色警示亮起,最後模擬影片中響起煉油廠劇烈的爆炸聲。
這次鎖定特定單位的演習,用釣魚郵件感染電腦、透過漏洞部署武器、最終劫持設施控制權,一系列操作展示了"進階持續性滲透攻擊"(APT)對關鍵基礎設施的重大威脅:低調、緩慢且毀滅性十足。
一位擁有30多年資安經驗的研究單位主管在接受《報導者》訪問時強調,上述演習的劇本是根據"真實情資"來編寫。換言之,中國支持駭客組織攻擊台灣關鍵基礎設施,並非只是一種擔憂,而是早就確有其事。
睿控網安公司(TXOne Networks)展示的工業系統控制運作流程,其中可編程邏輯控制器(PLC)扮演了維繫現在社會運作的關鍵角色。(攝影/陳曉威)
零時差的無差別攻擊,外界評估台灣被駭的風險程度為何?
根據2018年公布的《資通安全管理法》,台灣關鍵基礎設施分為八大領域,分別是能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區。而在數位發展部提供給《報導者》的書面資料中,確認現階段全台關鍵基礎設施共有100多處。
至於具體有哪些關鍵基礎設施遭受攻擊,礙於機密,數位發展部表示不便透露。而關鍵基礎設施之所以成為駭客攻擊的目標,負責國家頂級網域名稱發放,並接收國際駭客攻擊事件情資的台灣網路資訊中心(TWNIC)董事長黃勝雄指出,"關鍵基礎設施的特點不只在於它是連帶性的,還是集中性的,(被駭客入侵)產生的後果就會很嚴重。"他舉例:"一旦煉油廠遭受入侵,燃油就沒辦法送往電廠進行發電,電壓不足會導致自來水加壓站無法供水,連帶仰賴大量水電的高科技業也將停擺;實際上,台灣有超過6成的海纜集中在宜蘭頭城,若遭到破壞,台灣對外通訊也會立即陷入困境。"
連帶且集中的特性,讓台灣關鍵基礎設施面臨網路攻擊的風險大增。
台灣網路資訊中心(TWNIC)董事長黃勝雄,受訪時強調,近年來台灣關鍵基礎設施所面臨的駭客威脅風險不減反增。
以模擬駭客思維,透過實際攻擊來找出客戶資安防護缺陷而聞名的資安公司戴夫寇爾(DEVCORE),曾為總統府等政府機構提供服務,其共同創辦人暨資深副總徐念恩接受《報導者》採訪時強調:"我們覺得最好攻擊的單位就是『表面積』很大的單位。就像你要拿一個針去戳一個球體,籃球一定比桌球容易得多。"(註:"表面積"指機構企業的網站及網域數量、使用的IP位置數量、以及採行資安框架的多寡等。)
徐念恩也說明,如台灣能源產業有很多事業群,旗下又有各自網站,就好像一間房子有大量的對外窗口,一旦其中一扇窗戶被打破,網路攻擊者就得以堂而皇之地入侵。
