水電瓦斯防駭不足財損恐上億 穆迪：投資人應注意風險

水電瓦斯防駭不足財損恐上億穆迪：投資人應注意風險

駭客攻擊水電公司頻上報，2022年英國一家水務公司遭駭、損失上億；2023年再傳核廢棄處理設施成駭客目標；今年2月，另一家水務公司也坦承用戶個資外洩、並且在暗網銷售。駭客攻擊力道與頻率大增，不僅國際能源總署（IEA）示警，國際信用評等機構穆迪（Moody's）也提醒投資人留意相關風險。

《衛報》報導，穆迪1月底發布報告，提醒投資人注意駭客愈加頻繁攻擊基礎建設及公用事業的風險。穆迪警告，水務與廢水處理等公司大量使用智慧水表等監控管理系統，讓駭客更容易找到攻擊破口。

英國南斯塔福水務公司（South Staffordshire Water）在2022年8月遭到網路攻擊；今年2月，南方水務公司（Southern Water）也發信給用戶，坦承5%到10%的客戶個資遭竊。姓名、出生日期、國民保險號碼、銀行帳戶等外洩，放在暗網銷售。

穆迪指出，水務公司遭駭客攻擊，不僅會增加資安系統修復費、還可能面臨高額民事賠償與監管機構罰款。以南斯塔福水務公司為例，駭客攻擊的損失可能高達1000萬英鎊（約新台幣4億元）。萬一駭客攻入營運技術系統，破壞飲水或污水處理設施，後果會更嚴重。

關鍵性的核設施是另一個高風險目標。《衛報》在2023年12月獨家披露，塞拉菲爾德（Sellafield）核設施可能已遭駭客入侵多年，據傳駭客來自與俄羅斯、中國密切相關的組織。英政府與英國核能管制局（ONR）隨即否認報導內容，但核管局坦承塞拉菲爾德未達應有的網路安全標準。

塞拉菲爾德是一處多功能的核設施場域，曾有核電廠、核燃料處理廠、核廢料再處理廠等，電廠已除役。《衛報》表示，這裡擁有地表最多的鈽儲量，也是核武與核電使用過後核廢料的垃圾場。外洩資料可能包含放射性核廢料的移動、危險物質的洩漏，及消防檢查等。

駭客攻擊次數明顯增加，國際能源總署（IEA）解析2020年至2022年間的攻擊事件後發現，2022年針對水、電、瓦斯等公用事業的網路攻擊較2020年增加了一倍以上。

IEA表示，駭客攻擊公用事業的次數在2022年創下新高，能源產業的平均損失也在2022年創下新高，平均一次資料外洩的損失高達472萬美元（約新台幣1.5億元）。

IEA提醒，電力公司大量應用數位與監控技術來提高服務品質、整合分散式的能源，這些電網中的數位設備很容易成為網路犯罪的切入點。電力公司已意識到問題的嚴重性，並且在資安部門投入大量預算，但數據顯示，很多公司都是遭駭後才急忙增聘資安專家，顯示仍缺乏長期戰略。

「壞蛋一天比一天厲害，我們也要一天比一天進步。」歐洲最大的公用事業公司之一意昂集團（E.ON）執行長柏恩鮑姆（Leonhard Birnbaum）告訴《Politico》，「我現在很擔心，日後會更擔心。」