國外新聞

    水電瓦斯防駭不足財損恐上億 穆迪:投資人應注意風險

    駭客攻擊水電公司頻上報,2022年英國一家水務公司遭駭、損失上億;2023年再傳核廢棄處理設施成駭客目標;今年2月,另一家水務公司也坦承用戶個資外洩、並且在暗網銷售。駭客攻擊力道與頻率大增,不僅國際能源總署(IEA)示警,國際信用評等機構穆迪(Moody's)也提醒投資人留意相關風險。

    駭客攻擊次數增加,水電基礎設施成下手目標。圖片來源:Werner Moser/Pixabay

    水務遭駭損失上億 智慧監控增風險

    衛報》報導,穆迪1月底發布報告,提醒投資人注意駭客愈加頻繁攻擊基礎建設及公用事業的風險。穆迪警告,水務與廢水處理等公司大量使用智慧水表等監控管理系統,讓駭客更容易找到攻擊破口。

    英國南斯塔福水務公司(South Staffordshire Water)在2022年8月遭到網路攻擊;今年2月,南方水務公司(Southern Water)也發信給用戶,坦承5%到10%的客戶個資遭竊。姓名、出生日期、國民保險號碼、銀行帳戶等外洩,放在暗網銷售。

    穆迪指出,水務公司遭駭客攻擊,不僅會增加資安系統修復費、還可能面臨高額民事賠償與監管機構罰款。以南斯塔福水務公司為例,駭客攻擊的損失可能高達1000萬英鎊(約新台幣4億元)。萬一駭客攻入營運技術系統,破壞飲水或污水處理設施,後果會更嚴重。

    關鍵核設施網路安全未達標準

    關鍵性的核設施是另一個高風險目標。《衛報》在2023年12月獨家披露,塞拉菲爾德(Sellafield)核設施可能已遭駭客入侵多年,據傳駭客來自與俄羅斯、中國密切相關的組織。英政府與英國核能管制局(ONR)隨即否認報導內容,但核管局坦承塞拉菲爾德未達應有的網路安全標準。

    塞拉菲爾德是一處多功能的核設施場域,曾有核電廠、核燃料處理廠、核廢料再處理廠等,電廠已除役。《衛報》表示,這裡擁有地表最多的鈽儲量,也是核武與核電使用過後核廢料的垃圾場。外洩資料可能包含放射性核廢料的移動、危險物質的洩漏,及消防檢查等。

    魔高一丈 電力事業缺乏長遠對策

    駭客攻擊次數明顯增加,國際能源總署(IEA)解析2020年至2022年間的攻擊事件後發現,2022年針對水、電、瓦斯等公用事業的網路攻擊較2020年增加了一倍以上。

    IEA表示,駭客攻擊公用事業的次數在2022年創下新高,能源產業的平均損失也在2022年創下新高,平均一次資料外洩的損失高達472萬美元(約新台幣1.5億元)。

    灰色部分顯示平均公用事業(utility)遭駭客攻擊次數,2020年(淺藍)、2021年(深藍)與2022年(綠色),數字為平均一家組織每週攻擊次數。圖表來源:IEA(CC BY 4.0)

    IEA提醒,電力公司大量應用數位與監控技術來提高服務品質、整合分散式的能源,這些電網中的數位設備很容易成為網路犯罪的切入點。電力公司已意識到問題的嚴重性,並且在資安部門投入大量預算,但數據顯示,很多公司都是遭駭後才急忙增聘資安專家,顯示仍缺乏長期戰略。

    「壞蛋一天比一天厲害,我們也要一天比一天進步。」歐洲最大的公用事業公司之一意昂集團(E.ON)執行長柏恩鮑姆(Leonhard Birnbaum)告訴《Politico》,「我現在很擔心,日後會更擔心。」

    水電是重要民生設施,公司掌握重要資料,成了駭客下手攻擊的目標。圖片來源:Jeyaratnam Caniceus/Pixabay

    參考資料

    相關連結

    COPYRIGHT © 2021 中央研究院環境變遷研究中心
    計畫名稱:永續科學研究計畫「臺灣2050零碳社會的轉型治理分析與實踐」
    本網站由風險社會與政策研究中心環境資訊中心共同更新維護
    臺灣大學風險社會與政策研究中心
    地址:臺北市羅斯福路四段一號 臺灣大學社會科學院(頤賢館)514室 電話:02-33668422

    文章瀏覽點擊數
    1734189