駭客攻擊水電公司頻上報,2022年英國一家水務公司遭駭、損失上億;2023年再傳核廢棄處理設施成駭客目標;今年2月,另一家水務公司也坦承用戶個資外洩、並且在暗網銷售。駭客攻擊力道與頻率大增,不僅國際能源總署(IEA)示警,國際信用評等機構穆迪(Moody's)也提醒投資人留意相關風險。
水務遭駭損失上億 智慧監控增風險
《衛報》報導,穆迪1月底發布報告,提醒投資人注意駭客愈加頻繁攻擊基礎建設及公用事業的風險。穆迪警告,水務與廢水處理等公司大量使用智慧水表等監控管理系統,讓駭客更容易找到攻擊破口。
英國南斯塔福水務公司(South Staffordshire Water)在2022年8月遭到網路攻擊;今年2月,南方水務公司(Southern Water)也發信給用戶,坦承5%到10%的客戶個資遭竊。姓名、出生日期、國民保險號碼、銀行帳戶等外洩,放在暗網銷售。
穆迪指出,水務公司遭駭客攻擊,不僅會增加資安系統修復費、還可能面臨高額民事賠償與監管機構罰款。以南斯塔福水務公司為例,駭客攻擊的損失可能高達1000萬英鎊(約新台幣4億元)。萬一駭客攻入營運技術系統,破壞飲水或污水處理設施,後果會更嚴重。
關鍵核設施網路安全未達標準
關鍵性的核設施是另一個高風險目標。《衛報》在2023年12月獨家披露,塞拉菲爾德(Sellafield)核設施可能已遭駭客入侵多年,據傳駭客來自與俄羅斯、中國密切相關的組織。英政府與英國核能管制局(ONR)隨即否認報導內容,但核管局坦承塞拉菲爾德未達應有的網路安全標準。
塞拉菲爾德是一處多功能的核設施場域,曾有核電廠、核燃料處理廠、核廢料再處理廠等,電廠已除役。《衛報》表示,這裡擁有地表最多的鈽儲量,也是核武與核電使用過後核廢料的垃圾場。外洩資料可能包含放射性核廢料的移動、危險物質的洩漏,及消防檢查等。
魔高一丈 電力事業缺乏長遠對策
駭客攻擊次數明顯增加,國際能源總署(IEA)解析2020年至2022年間的攻擊事件後發現,2022年針對水、電、瓦斯等公用事業的網路攻擊較2020年增加了一倍以上。
IEA表示,駭客攻擊公用事業的次數在2022年創下新高,能源產業的平均損失也在2022年創下新高,平均一次資料外洩的損失高達472萬美元(約新台幣1.5億元)。
IEA提醒,電力公司大量應用數位與監控技術來提高服務品質、整合分散式的能源,這些電網中的數位設備很容易成為網路犯罪的切入點。電力公司已意識到問題的嚴重性,並且在資安部門投入大量預算,但數據顯示,很多公司都是遭駭後才急忙增聘資安專家,顯示仍缺乏長期戰略。
「壞蛋一天比一天厲害,我們也要一天比一天進步。」歐洲最大的公用事業公司之一意昂集團(E.ON)執行長柏恩鮑姆(Leonhard Birnbaum)告訴《Politico》,「我現在很擔心,日後會更擔心。」
參考資料
- 衛報(2024年2月4日),‘Elevated' risk of hackers targeting UK drinking water, says credit agency
- BBC(2024年2月14日),Southern Water customers affected by cyber attack
- 衛報(2023年12月4日),Sellafield nuclear site hacked by groups linked to Russia and China
- 衛報(2023年12月5日),Revealed: Sellafield nuclear site has leak that could pose risk to public
- Politico(2023年11月23日),Europe's grid is under a cyberattack deluge, industry warns
- IEA(2023年8月1日),Cybersecurity – is the power system lagging behind?