◎朱祥中
今年4月24日,美國司法部針對為俄羅斯政府工作的4名俄國公民,在2012至2018年間入侵約135國數百家公司的數千臺電腦,試圖進入重要能源設施系統,造成破壞或實際損害的作為實施起訴。事實上,早在1月美國智庫「外交關係協會」公布的《預防優先次序調查》報告,即將美國國家關鍵基礎設施遭網路攻擊嚴重破壞,列為具「中度機率」和「高衝擊」的第一級風險,與北韓飛彈試射及恢復核試驗、海峽兩岸、俄國與烏克蘭、伊朗與以色列等地之衝突等事件,併列同一層級。
3月21日,美國白宮發布1份《總統拜登關於國家網路安全的聲明》,內文區分4段,重點是囿於俄羅斯積極探索美國網路安全的弱點,須強化政府與公民營的關鍵基礎設施單位在網路防護的合作,美國國土安全部之網路安全暨基礎設施安全局,為協助民營的關鍵基礎設施業者面對網路攻擊時,對準備之面向、合作之重點及減少影響的方式等資訊有所依循,提供一系列的指引幫助。拜登呼籲民營關鍵基礎設施業者,重視自身的能力、責任及權力,提高警覺,以加強網路所需之安全和韌性,才得以應對現今的威脅,防止下一波攻擊或減少攻擊的影響,不負民眾所望。
個資外洩比例攀升
美國聯邦調查局今年3月22日發表《2021年網路犯罪報告》指出,2019年報案數量為46萬7361件,財損狀況約35億美元;2020年報案數量上升至79萬1790件,財損約42億美元;2021年犯罪率大幅增長,接獲案件數達84萬7376件,財損也達69億美元,較2019年多出約50%。同時表示,網路犯罪態樣也產生轉變,去年前3名態樣首先是釣魚詐騙,其次是貨物未送達或應付帳款未付,最後是個資外洩。貨物未送達或應付帳款未付是指「貨物或服務已經發運,但從未付款。另一種態樣是付款後,卻從未收到貨物或服務,或質量較差(即交貨未如期如質)」。對個資外洩的定義為「個人資訊從一個安全的地方,被釋放到一個不受信任的環境中的洩漏或流出。個人敏感、受保護或保密資訊,被未經授權的個人複製、傳輸、查看、竊取或使用的安全事件」。對釣魚詐騙的定義則是「使用未經請求的電子郵件、簡訊和電話,表明來自合法公司,要求提供個人、財務和(或)登錄憑證」。顯示個人資料外洩或遭濫用導致的犯罪較多。
個資外洩及網路釣魚的成功率愈高,也間接導致勒索攻擊對國家關鍵基礎設施的頻率攀升。美國國土安全部2013年頒佈的《國家關鍵基礎設施防護計畫-關鍵基礎設施安全與韌性的合作計畫》,依據2001年《愛國者法案》第10篇第1016節對關鍵基礎設施提出說明「無論是實體或虛擬的系統與資產,對美國都至關重要,若遭癱瘓、毀損,將導致國家安全或經濟、公共衛生等至少一項領域的安全欠缺周延」。美國關鍵基礎設施清單概分為:化學、通訊、水壩、緊急服務、能源、金融服務、糧食與農業、政府設施、運輸系統、水和廢水系統、核反應堆/材料/廢物、醫療保健/公共衛生、商業設施、關鍵製造業、國防工業基地、資訊技術等16類。《2021年網路犯罪報告》顯示,醫療保健和公共衛生領域報案數最高,有148件;其次是金融服務領域89件,接續是資訊技術領域74件、關鍵製造業65件、政府設施領域60件、商業設施領域56件、糧食與農業領域52件、運輸系統領域38件、能源領域31件、通信領域17件、化學領域12件、水和廢水系統領域4件、緊急服務領域2件、國防工業基地領域1個。顯然僅存核反應堆/材料/廢物和水壩2大領域,尚無顯著威脅。
網路環境丕變 挑戰加劇
鑑於第4次工業革命和新一代的無線通信技術,使物體之間的連接變得無處不在,也就是透過參與「物聯網」(IoT)的通信系統,期使人類能與數十億的設備以類似互聯網的方式互動,預測2030年連接(使用短程無線電通信技術)的「智慧物件」(SOs),將超過1250億,2029年與超過27億的低功耗廣域網路(LPWAN)連接。由於SOs對於智慧農業、智慧醫療、智慧金融、智慧城市、智慧工業等領域的應用不盡相同,導致須採用的通信技術產生區別,使其在IoT無線技術協議、性能、可靠性、延遲、成本效益和覆蓋範圍等,出現差異,顯示IoT需要更複雜的網絡拓撲結構,不宜設置預先定義的層次結構,以動態地適應不斷變化的環境與需求,這也表示人類雖將迎接科技、經濟、生活等方面的躍進,卻也將受到更大的網路威脅及挑戰。
國家災害防救科技中心認為,關鍵基礎設施是人民生活、經濟發展、政府運作與國家永續生存的重要關鍵,對於如何確保國家關鍵基礎設施,並做好各項事先災害預防與風險管理,已成為全球各國政府施政的當前重要任務。烏俄衝突期間,個人資料仍是雙方攻防重要領域,自俄羅斯於2014年占領克里米亞之後,俄羅斯聯邦安全局情報機構旗下一支部門,便試圖持續感染超過1500多個烏克蘭政府的電腦系統;迄4月下旬,烏克蘭國家安全與國防委員會官員德梅迪克表示,網路戰如今仍激烈酣戰,竊取個人資料仍是俄羅斯駭客嘗試廣泛入侵政府網路的首要任務。當世界愈數位化,聯繫也愈緊密,因此我們必須學習保護自己,但若要能確實保護我們所依賴的關鍵基礎設施,則需要所有人努力投入與關注。
(作者為臺灣印度研究協會研究員)
