2015 年 12 月 23 日,乌克兰电力网络受到骇客攻击,导致伊万诺-弗兰科夫斯克州大停电,1 个月后安全专家证实这起停电是骇客恶意攻击所造成,成为全世界第一起骇客攻击造成电网大规模停电事件,美国对此极为重视,2016 年 1 月派出调查团前往乌克兰,发现这起攻击事件是以钓鱼攻击得手。
当西乌克兰还处于冰天冻地的寒冬之中,2015 年 12 月 23 日下午 2 点半,骇客远端登入伊万诺-弗兰科夫斯克州的电网控制中心,几秒钟后所属区域大断电,交通号志熄灭,电视也关闭,停电持续到夜间,入夜后 22.5 万居民陷入没有灯光、没有暖气的窘境,幸好事发后 6 小时,电力公司人员总算恢复系统重新供电,总体来说造成的损害并不大,但这是全球第一起骇客攻击电网造成大停电事件,引起相当大关注。
过去电力网络遭入侵时,因为各系统的软硬件规格不同,系统环境破碎之下,骇客很难发挥太大影响,大多数攻击都被视为根本不值一提,连向上回报的必要都没有,但资安专家一直警告骇客入侵破坏电力系统的可能性,乌克兰事件如今证实了这点。当电力系统受到骇客破坏,大停电不仅可能会造成钜额经济损失,还可能造成后续影响,如因抽水机停止运作而停水、污水处理系统停摆,更会影响医疗、金融、交通。
美国联邦调查局(FBI)、国土安全局(Department Of Homeland Security,DHS)、能源部对此极为重视,2016 年 1 月时,3 个单位派出联合团队前往乌克兰,调查事发原因,由于在乌克兰冲突中,俄罗斯曾用木马软件 BlackEnergy 攻击乌克兰政府相关机构,乌克兰相关单位一度怀疑大停电可能是俄罗斯国安当局使用 BlackEnergy 对乌克兰进行的攻击,不过调查显示与 BlackEnergy 并无关系,事实上此次攻击主要不是经由安装骇客程式瘫痪电网,而是透过人因方式攻击。
6 个月前,骇客先针对电厂员工进行鱼叉式网络钓鱼(Spear phishing),所谓鱼叉式网络钓鱼,顾名思义,就是只针对特定目标进行的网络钓鱼攻击,骇客以网络钓鱼成功取得该员工的登入权限,之后并未在电网系统中植入恶意程式,而是利用普通的远端登入软件,登入电厂系统后,一个接一个的启动断路器截断电力,然后改掉密码,让电厂员工无法登入重启电力。同时骇客还关闭了电话网络,让电厂员工难以互相沟通,因而不易了解状况,找出对策重启电力。
精简人力遇攻击恐难处理
无线通讯公司全频谱(Full Spectrum)共同创办人暨首席执行官史都华‧坎托(Stewart Kantor)表示,乌克兰电厂把内部通信电话网络架设于公用 Wi-Fi 是本起事件中最大的安全漏洞,坎托认为,一旦重要系统上有资安缺口,拥有非架于公用 Wi-Fi 之上的受保护通讯,是系统基本需求,尤其是对电力公司而言。只要是依赖公共通讯网络的电力公司都易受此类攻击,也有其他的可靠性问题。
美国相关当局近几年来已经相当警觉电力网络有可能受到物理上的攻击,电网是地球上最大规模的相互联结机器,包括 20 万英里长的高压传输缆线,各环节都可能受到物理破坏,2013 年,就有一组枪手对北卡罗莱纳州的变电所发动枪击,破坏了 17 个变电器,幸好电厂员工反应得当很快绕过受损变电器,没有引起断电或电力不稳。
然而,随着越来越多电力公司进行自动化控制,并且采用云端管理,以提升系统效率以及降低人事成本,电力网络受到骇客攻击的可能性也越来越高。美国国土安全局表示,近年来能源相关单位是 40% 骇客攻击的目标。过去我们习惯骇客攻击造成网络服务延迟,或是骇客攻击造成资料毁坏流失,但是人类尚未经历骇客攻击造成大规模破坏,即使乌克兰事件中骇客成功造成断电,但实质伤害不大,不过,随着电网自动化程度提升,未来若有骇客成功掌握电网,有可能造成相当大损害。
电网自动化控制也减少了所需的员工,比起 25 年前电力系统值班员工已经大为减少,以往每个控制室都有 1 人值班,如今过去由 6 个人执勤的控制室整合成一个中央控制中心由 1 个人执勤,若是受到攻击,一切得恢复手动时,根本没有那么多人员可以操作系统。
因应乌克兰事件,美国联邦调查局与国土安全局共同组织巡回美国全国的讲座,名为“乌克兰骇客攻击:对美国机构管理人的启示”(Ukraine Cyber Attack: Implications for US Stakeholders),以教育各地的安全人员、能源主管与地方政府官员如何衡量资安风险,并改善机构的资安状况。
2016 年 4 月,该讲座将举办 8 场实体简报会议以及 4 场线上会议。提供资安人员基本的安全防护观念,包括远端操控必需有多重认证安全机制,以及设定详细计划,一旦发生遭骇事件时,确保内部电话通信有备援系统,以防骇客同时攻击内部电话系统,确保事件发生时能联系电网员工。美国政府也建议时时更新由美国电脑紧急事件应变小组(United States Computer Emergency Readiness Team,US-CERT)所发布的最新恶意软件公报。
然而这样是否就足够了呢?电网系统的资安问题,有部分来自于成本,若要设立全面性的资安防护,对电力公司来说成本太高,而若将资安增加的成本转嫁到电费上,又会受到政治上的压力,唯有政府主导,要求电力公司需改善资安,并允许相对应的资费调涨时,电力公司才会积极进行,在此之前,恐怕只能期待骇客不要太快找到攻破电网系统的办法了。
- A new American power struggle looms
(首图来源:Flickr/Philippe Put CC BY 2.0)
延伸阅读:
- 世界首例,乌克兰大停电证实是遭骇客入侵