中油、台塑化接連遭駭，資安專家解讀，石化等關鍵基礎設施牽涉民生重要活動，為國家級駭客覬覦目標，入侵目的較不單純；台灣石化業過去雖為資安績優生，但隨傳統封閉系統逐漸連網，入侵管道大增。

    近日國內兩大石化公司中油、台塑化與半導體大廠力成，先後傳出遭駭客鎖定攻擊事件，安侯建業會計師事務所（KPMG）數位科技安全服務負責人謝昀澤觀察，相對政府機關、金融業、電商及高科技產業長期受駭客集團騷擾，台灣石化業過去鮮少發生大規模資安事件，一直為資安績優生。

    不過，謝昀澤表示，值得注意的是，近年其他國家油、水、電等關鍵基礎設施遭駭客攻擊，導致大規模的災難事件的情形，其實屢見不鮮；國際大型電廠、石油庫、水庫水壩、飛航網路等高機敏設施的控制系統，都被駭客光顧過。

謝昀澤指出，駭客攻擊一般企業，多半是想取得財物、客戶個資、營業秘密等有價資料，但是國際上關鍵基礎設施遭到攻擊的原因，通常是為了癱瘓攸關民生的關鍵設備運作，目的較不單純。

    謝昀澤解讀，近年關鍵基礎設施越來越容易遭到攻擊，與傳統營運科技（OT）資訊聯網高度相關，當傳統封閉式的工業控制系統（ICS）等諸多OT設備，開始連上網路，採用開放式架構進行數位化作業以後，駭客入侵的機會與管道都大增。

    謝昀澤示警，關鍵基礎設施涉及民生重要活動，更是國家級駭客覬覦的目標，大幅提高資安防護的困難程度，可預期大型企業與關鍵基礎設施業者，未來將面臨更多、更嚴峻的駭客挑戰。

    KPMG數位科技安全服務副總邱述琛提醒，企業過去常將資安防護重心放在網路與核心伺服器，如今資安風險管理的範圍，必須要擴大到全部的聯網設備，尤其是容易遭到忽略的終端個人電腦、移動式設備、終端銷售機（POS）、刷卡機、電子支付設備、網路攝影機、遠距視訊會議設備等任何一個聯網設備上。

    邱述琛表示，尤其疫情期間，大幅依賴遠端維護工作時，更是遭駭的危險期；任何一個員工將一支小小USB插入筆電，或是收到一封與真實郵件極度類似的偽冒釣魚郵件時，都應有風險意識與足夠的資安防護作為。

    邱述琛補充，經濟部已頒佈「能源及水資源領域工業控制系統資安防護基準」，這是國內主管機關針對關鍵基礎設施訂定明確的最新實作指引，建議產業積極正視，並檢討落實，相信對未來國內相關產業的資安防護會有相當大的幫助。（中央社2020.5.6）