跳到主要內容區塊

趨勢文章Trend Articles

歐盟智慧海港資安防護措施介紹(下)

資料來源:SAFETY4SEA(2021). Cybersecurity guidelines for ports and port facilities launched.

https://safety4sea.com/cybersecurity-guidelines-for-ports-and-port-facilities-launched/

歐盟網路安全局(European Union Agency for Cybersecurity,以下簡稱ENISA)2019年發表《Port Security》,旨在透過文獻蒐集、專家訪談與問卷調查等作法,研擬智慧海港資安防護措施指引,以提供港口相關單位參考,提升智慧海港資訊安全。本文作者已於上篇概述智慧海港制定資安防護措施之前4步驟,包含:盤點利害關係人與生態系、盤點資產、釐清資訊安全事件影響層面與範圍,以及定義潛在威脅。作者接續針對智慧海港制定資安防護措施步驟5:依據潛在威脅制定相對應之防護措施,將以ENISA研擬之3件智慧海港網路攻擊事件模擬情境,以及其所建議之資安防護措施項目(涵蓋營運面、技術面與政策面)進行介紹,以作為智慧海港相關場域單位未來規劃之參考。

財團法人台灣經濟研究院研究一所\彭義琹 助理研究員

壹、 智慧海港網路攻擊事件模擬情境一:「採用目標式攻擊(Targeted Attack),以竊取高價值貨物或販運違禁品」

此模擬情境係參考2013年發生於安特惠普港貨櫃場站之真實事件,主要係由一毒品販運集團,透過植入遠端執行程式與網路竊聽行為,取得其鎖定貨櫃之相關資訊(包含貨櫃號碼、貨櫃裝/卸貨港、裝/卸貨日期等),以利其安排後續毒品販運作業。

ENISA指出,採用目標式攻擊之惡意人士,須對港口整體營運與管理系統、社交工程(Social Engineering)、基礎設施等具備相當程度之專業知識。惡意人士通常會聘請駭客,利用已知港口資訊科技(Information Technology,以下簡稱IT)系統(如貨物資訊系統)之漏洞,透過植入遠端執行程式、釣魚式攻擊、網路竊聽等行為,取得該IT系統存取權,並獲取所有進出口貨物與貨櫃之資訊,以利其規劃後續竊取高價值貨物、違禁品販運等作業。此類型網路攻擊事件影響層面包含:受貨人無法提領貨物(櫃)、港口營運單位與貨運承攬業者名譽受損、違禁品流竄該國等。

針對此類型網路攻擊事件,ENISA建議從營運面與技術面可採取之資安防護措施項目包含如下:

n 營運面第10項:為海港相關人員提供專業資訊安全教育訓練,並其提升資訊安全認知(Security Awareness)能力。

n 營運面第16項:成立網路安全營運中心(Cybersecurity Operations Center,SOC),且成員須涵蓋所有港口利害關係人。

n 技術面第01項:採用網路分隔技術(Network Segmentation),以限縮惡意病毒傳播之範圍。

n 技術面第02項:定期執行網路掃描,以及時檢測是否存在非授權軟體或惡意程式。

n 技術面第08項:針對IT系統之存取控制應採用多因子鑑別(Multi-factor Authentication)作法。

貳、 智慧海港網路攻擊事件模擬情境二:「利用勒索軟體之傳播,癱瘓港口營運作業」

此模擬情境係參考2017年發生於鹿特丹港之真實事件,主要係惡意人士利用一勒索軟體:NotPetya,入侵全球最大貨櫃船運業者「埃彼穆勒-快桅集團(A.P. Møller-Mærsk Gruppen)」之企業網路,快桅只得將其所有運行中電腦緊急關機,以阻止該勒索軟體繼續擴散,卻間接造成快桅所屬貨櫃場站營運作業全面癱瘓,進而影響全球航運作業。

ENISA指出此類型網路攻擊事件不一定是將港口營運管理單位定為攻擊目標;港口營運管理單位可能僅因與利害關係人(如航商)有牽連,而受到波及。惡意人士通常會利用一勒索軟體,透過目標軟韌體之漏洞傳播至全球網絡,並藉由強制加密目標之所有IT與營運科技(Operation Technology,OT)系統、IT與OT終端設備(如工作站、伺服器等)、文件等,以此要脅目標付出代價,如贖金、政治行為等。部分受影響單位可能採取緊急關閉所有聯網設備之應變措施,以阻擋勒索軟體持續擴散;然而,在與惡意人士斡旋期間,受牽連之港口營運作業可能就此停擺,或須改以人工方式進行貨物(櫃)資訊登錄、報關等作業,延長該港作業時間,甚至影響全球航運供應鏈。

針對此類型網路攻擊事件,ENISA建議從營運面、技術面與政策面可採取之資安防護措施項目包含如下:

n 營運面第01項:制定終端設備軟韌體防護措施,如裝設防火牆、系統加密等

n 營運面第05項:制定弱點風險管理程序,如定期手動或自動進行軟體漏洞/弱點檢測

n 營運面第16項:成立網路安全營運中心(Cybersecurity Operations Center,SOC),且成員須涵蓋所有港口利害關係人

n 技術面第01項:採用網路分隔技術,以限縮惡意病毒傳播之範圍

n 技術面第13項:採用特權帳號管理技術(Privilege Account Management),以最小特權原則為原則,使每個帳號僅能獲得執行其工作內容所需之最低存取級別

n 技術面第15項:須確保所有聯網軟韌體皆有安裝阻擋惡意程式與病毒之軟體,且須持續更新

n 技術面第23項:擬定IT與OT系統軟韌體更新管理程序,以確保各軟韌體皆為最新版本

n 技術面第24項:須驗證終端設備軟韌體之真實性與完整性,以確保終端設備之安全

n 政策面第15項:確保智慧海港系統資安韌度(Cyber Resilience)

n 政策面第17項:擬定緊急事件處理政策,並針對所有港口利害關係人制定相對應之應變程序與作業

參、 智慧海港網路攻擊事件模擬情境三:「惡意攻擊OT系統,引發港區重大事故」

此模擬情境主要係惡意人士透過IT網路、隨身碟、釣魚式攻擊等,植入惡意代碼(Malicious Code)於港口運行中之電腦,再將該代碼傳播至OT網路與系統,並接續執行:(1)遠端操控工業控制系統(Industrial Control Systems,以下簡稱ICS);(2)修改ICS程式,使其執行錯誤指令;(3)遠端操控OT終端設備(如橋式機、門式機等)。ENISA指出此類型網路攻擊行為可能使OT終端設備不穩定運行或因執行錯誤指令,間接引發港區重大事故、港口人員受傷或死亡、財物損失等,更甚者可能導致港口物流系統損壞或崩潰。

針對此類型網路攻擊事件,ENISA建議從營運面、技術面與政策面可採取之資安防護措施項目包含如下:

n 營運面第01項:制定終端設備軟韌體防護措施,如裝設防火牆、系統加密等

n 營運面第09項:為海港所有關鍵人員(如專案經理、港警人員等)提供專業資訊安全教育訓練

n 營運面第12項:確保所有港口利害關係人對網路安全事件影響範圍與層面具通盤性瞭解,並須明定相關權利義務關係

n 營運面第16項:成立網路安全營運中心(Cybersecurity Operations Center,SOC),且成員須涵蓋所有港口利害關係人

n 營運面第21項:確保所有IT與OT相關系統與設備皆妥善保存於具有以下設備之安全環境,包含火災偵測裝置、冷氣機、閉路電視與出入口管制等。

n 技術面第11項:確保港口營運管理單位採購與建置之IT與OT相關系統與設備皆有其必要性,並且僅安裝必要之系統或功能。

n 技術面第14項:為所有關鍵系統(如船舶交通服務系統(Vessel Traffic Services,VTS)、無線電系統、保安系統等)設立專用網路,以降低系統互相串連而產生漏洞之風險。

n 技術面第25項:定期驗證所有軟韌體更新版本來源之真實性與該更新版本功能之完整性,以降低軟韌體更新而產生漏洞之風險。

n 技術面第29項:相關單位應針對部分OT設備軟韌體為舊有系統(Legacy System),面臨開發商無持續推出軟韌體更新版本之窘境,制定額外資安防護措施。

n 技術面第30項:採用網路分隔技術,分隔IT與OT系統,以限縮惡意病毒傳播之範圍與層面。

n 技術面第31項:相關單位應針對導入物聯網技術之設備,制定額外資安防護措施。

全球港口相關單位因應數位轉型趨勢,導入新興科技同時,應考量港口生態系複雜、利害關係人眾多等因素,適時邀請所有利害關係人共同協助制訂整體資安防護措施,並須確保資安議題納入智慧海港發展策略之規劃,以提供安全之航運環境。

參、參考資料

[1]   European Union Agency for Cybersecurity(2019). Port Cybersecurity.

[2]   BBC(2013). Police warning after drug traffickers' cyber-attack.

[3]   ZDNET(2017). Petya ransomware: Cyberattack costs could hit $300m for shipping giant Maersk.

1.    「本網站所刊載之所有資料內容及素材,皆屬於交通部科技顧問室所有,非經交通部科技顧問室同意不得將全部或部分內容轉載於任何形式之媒體、不得任意轉載作商業用途」
2.    「本網站資訊內容受著作權法保護者,除有合理使用情形外,任何形式轉載、重製、散布、公開播送、出版或發行本網站內容應取得該著作財產權人同意或授權後,方得利用。」
3.    「本網站所刊載之所有資料內容及素材,得於受著作權保護之範圍內利用,然使用時,應註明出處。」

回到頁首