假新闻将会更加泛滥，趋势科技呼吁全民需提高发觉异常的意识

论及关键基础设施，许多人可能会先想到与民生需求相关部分，像是供应油、水、电力的单位，一旦遭受攻击，便会严重影响社会整体功能的运作，并且造成人民的财产损失，甚至是重大伤亡。然而，不只有形的关键基础设施受到骇客觊觎，对于一般民众获得重大资讯的管道，也成为攻击者下手的主要目标。趋势科技资安研究群核心技术部资深协理张裕敏（Ziv）认为，接下来的2年内，散播假消息或是假新闻的攻击手法，将会更加泛滥，因此，在2019台湾资安大会之前，该公司于3月18日举办的媒体团访中，张裕敏特别以关键基础设施遭受攻击为题，探讨所带来的影响与因应之道。

到底关键基础设施遭受攻击会带来的影响会有多严重？张裕敏以最近传出疑似遭受网络攻击导致大停电的委内瑞拉为例，供应该国8成电力的古里（Guri）水力发电厂出现异常，使得委内瑞拉全国顿时陷入了大停电，但至今原因仍然不明。

委内瑞拉大停电发生之后，随之而来的是公部门与医疗院所停摆，民众也因马达无法运作，导致没有水可用；再者，冰箱内的食物只能任其腐败，但即使当地居民想要购买食物，由于收银机不能使用，商店交易竟要求以美金交易，上述的情况，随着该国一个多星期电力时好时坏，变得更加恶化，严重影响该国人民的民生。此外，该国总统马杜洛（Nicolas Maduro）直指反对派与美国是主谋，这起停电还引发美国和中国之间的政治角力。

攻防不对等，骇客攻击关键基础设施门槛极低

张裕敏指出，光是水利设施遭受攻击，自公元2000年至今，可说是不断发生，他也举出了近年来多起发电厂、石油公司等，被骇或是遭到控制的事件。

然而，一如现今的资安情势攻防不对等，张裕敏说，无论骇客需要作案工具、攻击手法、可利用的漏洞，乃至于寻找目标，都有现成的资源可用。

以作案工具而言，骇客在GitHub上，就能取得Industrial Exploitation Framework等软件；而攻击手法的部分，ICS ATT&CK Matrix则提供了各式能运用的方式；由于许多关键基础设施里的设备缺乏定期安装修补软件，骇客可以从美国的ICS-CERT，找到已经被公开的漏洞；最后是攻击目标的部分，攻击者可从物联网搜索引擎Shodan找寻，甚至这个搜索引擎还分门别类，能让骇客寻找指定厂牌的设备下手。

媒体、金融、网络基础设施成攻击者的新目标

针对关键基础设施的范围，张裕敏说，其实相当的广泛。他引用了我国行政院《国家关键基础设施安全防护计划指导纲要》的定义，不光是水资源和能源，还包含了政府机关、高科技园区、金融单位、医疗院所、交通，以及通讯传播等方面。因此，虽然许多能源设施受到骇客攻击，是与工业控制的操作科技（OT）安全有关，但其实与大众“知”有关的通讯传播，也同样面临严重的威胁。

上述的8大类型关键基础设施中，通讯媒体与其他型态所面临的攻击，相当不同。张裕敏指出，针对这种类型的关键基础设施攻击，骇客可能会针对电视台、网络媒体，以及社群媒体下手之外，其实最容易听到的，莫过于所谓的假新闻、假资讯，借由资料再加工的作法－－例如张冠李戴、过度解读等，进而操控特定资讯，不只可能会导致错误决策，还会造成大众的恐慌，甚至是引发民众对政府的不信任危机，换言之，后续带来影响程度最广泛的，其实是这种通讯传播基础设施威胁。近期影响最大的事件之一，就是2016年美国总统大选期间，出现了大量滥发假消息的推特账号。

由于这种攻击会摧毁人民对于政府的信任，因此包含台湾在内的许多国家，都打算祭出相关的法规，但张裕敏说，由于新闻和社群网络又牵涉到言论自由，各国政府想要加以管制就变得更加困难。

再者，张裕敏指出，金流与网络基础设施，也是骇客近期下手的重要目标。前者骇客可锁定后端的资讯系统或ATM，使得无法正常交易；由于现代人几乎不能没有网络，因此从DNS、路由器、无线网络、4G或5G网络下手，也成为骇客入侵、窃取隐私，或是进行诈骗的管道。

至于因应这样的情势，张裕敏则提出了心法，包含了关键基础设施单位与一般民众的层面，针对上述的单位而言，他认为要参考各国所制订的纲要、指引文件，还有防护的措施，并且寻求资安公司的协助等；而对于一般民众而言，若是能在发现不寻常的现象时，提高警觉，并进行通报，或许可以阻止一场攻击关键基础设施的事件。

张裕敏举例，像是台北市的智慧公车站中，可能预备了提供维护所用的USB埠，若是发现有不明人士连接了USB随身碟，民众通报警方到场关切，很可能就避免了这类交通系统遭受入侵的情况。