2024/10/04 @臺灣
隨著數位技術在農業中的普及,如精準農業、物聯網(IoT)技術、以及供應鏈管理系統的數位化,技術面的脆弱性可能帶來重大風險,透過CARMA這樣的網路安全評估和風險管理方法進行更嚴謹的檢視。
示意圖
國立中興大學資訊管理學系 陳育毅教授 兼 教育機構資安驗證中心主任
2023年,以色列的負責約旦河谷地區水資源管理和污水處理Galil Sewage公司,其灌溉控制系統遭受網路攻擊,一整天無法正常運作,這些控制系統是該地區農田灌溉的重要工具,攻擊導致灌溉系統的癱瘓,由於以色列氣候相對乾燥,農業對灌溉的依賴度很高,系統停擺可能對農作物造成不良影響。
雖然這次攻擊的具體來源和細節沒有更多揭露,攻擊者的身份和動機也未得到確認,但2020年也曾發生過類似的攻擊事件,當時根據以色列安全研究公司Security Joes的調查,全球部署的100多個智慧灌溉系統在未更改工廠預設無密碼設定的情況下安裝,以色列境內就有55個灌溉系統曝露在網路上沒有密碼保護,因此容易受到惡意攻擊,攻擊者可能會通過漏洞操控水流閥門,可能會導致淹沒田地。【延伸閱讀】- 適用於小農的混合能源智慧灌溉系統,如何考量地點安排及選擇適合作物
以這樣的案例來說,我們可以獲得下列啟示:
2022年,一位專注於揭露農業科技領域安全問題的研究人員Sick Codes,發現農機公司John Deere的APP及網站有多個漏洞,這些漏洞可能會暴露客戶的敏感資料,包含農機設備所有者的姓名、地址、設備識別號碼,這些資訊可能被用來進行非法活動或設備跟蹤,可能會導致身份盜用或非法侵入設備等風險。
更進一步,Sick Codes還展示了越獄技術,允許使用者繞過農機設備上的軟體限制,獲得底層作業系統的超級使用者權限,這種漏洞可以幫助農民繞過阻止使用非原廠零件耗材進行維修,如此可以改用更便宜的非原廠維護,但這也帶來了安全上的顧慮,因為繞過軟體限制可能會使農機設備更容易受到惡意攻擊。以這個案例來說,我們可以獲得下列啟示:
2020年,美國某個農業食品公司遭受OnePercent Group發動的勒索軟體攻擊,這次攻擊從一封含有惡意ZIP壓縮檔附件的釣魚郵件開始,ZIP檔裡面包含一個內含惡意巨集程式的Office文件,該農業食品公司員工開啟文件後觸發惡意巨集程式執行,下載並安裝了IcedID銀行木馬,這個IcedID原本是為了竊取銀行憑證而設計的,但後來被駭客們利用演變為一種多用途的惡意軟體加載器,在此次攻擊事件中暗地裡下載並部署Cobalt Strike這個滲透測試工具,用來建立對受感染系統進行控制,而且這個工具還可以在企業內部網路橫向移動、提升權限,然後在其控制的系統上以Rclone命令將系統上的資料傳到外部雲端,一個月內就將該公司的系統內部資料傳輸高達數TB的資料量,如此進行長達一個月的資料竊取後,才在系統上部署勒索軟體將系統整個加密起來進行勒索。
這次事件可以看得到攻擊者的精心策劃,對受害者造成最大化的損害及取得更有利的籌碼,加密影響了數百個文件夾,針對公司運營至關重要的行政系統產生重大影響,再要求支付4000萬美元的贖金,以換取將系統解密還原和不洩露已外洩的資料。這個事件的最後,該公司並沒有支付贖金,因為該公司有完善的系統備份,使用備份版本還原系統至正常運作。以這個案例來說,我們可以獲得下列啟示:
2021年,美國NEW Cooperative農業服務公司遭受駭客攻擊,關閉其Midwest Agronomic Professional Services™ (MAPS)服務,這個服務支援全國 40%糧食生產以及1,100萬頭動物飼料計畫。MAPS為農民提供詳細的土壤數據,根據不同區域的土壤特徵生成精確的土壤地圖,這使得農民能夠更有針對性地進行耕種和施肥。這些土壤圖資幫助農民識別土壤的健康狀況、營養成分以及肥力,成為耕作決策之依據。MAPS系統結合數據分析與衛星技術,為農民提供針對作物管理的建議,例如播種密度、肥料使用和灌溉策略等。這些數據驅動的建議能幫助農民最大限度提高收成,同時減少資源浪費。【延伸閱讀】- 在農業中使用人工智慧可能遇到的風險
MAPS利用精準農業技術,通過GPS定位和數據分析,幫助農民根據實際地理特徵和土壤需求進行精確施肥、噴灑農藥和水資源管理,以確保資源的高效利用和農作物的最佳生長環境。MAPS提供實時數據監控功能,幫助農民追蹤農田的環境變化、土壤狀況和作物健康,自動生成報告讓農民能依據數據進行農耕作業。
如此以雲端提供多種農業服務,支援提高生產效率、降低運營成本、改善環境永續性,超過8,000個農業生產者會員,遭受攻擊造成影響是相當嚴重的。這次攻擊使用了 BlackMatter這種新型態的勒索軟體即服務(RaaS),這種由勒索軟體組織提供勒索軟體租用攻擊的商業運營模式,允許外部攻擊者租用勒索軟體工具來對目標發動攻擊,使得沒有技術能力的攻擊者也可以使用這些工具進行勒索,進而大幅增加了勒索攻擊的規模與頻率。以這個案例來說,我們可以獲得下列啟示:
就以上案例來看,我們分別獲得一些啟示,但是要如何更全面落實網路安全評估和風險管理方法呢,或許我們可以從早期由美國農業部(USDA)、國土安全部(DHS)和食品藥品管理局(FDA)等多個機構共同合作制定的「Cybersecurity Assessment and Risk Management Approach」(簡稱CARMA)來建立更佳認知,這個框架從農業面對現代網路安全威脅的需求,隨著數位技術在農業中的普及,如精準農業、物聯網(IoT)技術、以及供應鏈管理系統的數位化,技術面的脆弱性可能帶來重大風險,透過CARMA這樣的網路安全評估和風險管理方法進行更嚴謹的檢視,像是:
CARMA框架包括以下幾個主要步驟:
(1) 資產識別與評估
首先,識別農業系統中的關鍵資產,這包括硬體設備、軟體應用、資料庫、物聯網設備以及與食品供應鏈相關的系統。對這些資產進行風險分類,將最具戰略意義的資產列為優先保護對象。
(2) 威脅識別
分析與農業系統相關的潛在威脅來源,包括:
(3) 漏洞分析
使用各種安全工具和方法來識別農業系統中現有的技術漏洞。例如,檢查農業設備與系統是否存在未修補的漏洞、密碼保護機制是否到位、安全設置錯誤、是否有適當的網路隔離技術以保護資訊、員工的安全意識不足等。
(4) 風險評估
根據威脅和漏洞進行風險評估,考慮每種風險可能對農業運營和食品供應鏈的影響。這個步驟會針對風險進行定性或定量評估,並根據其嚴重性進行優先排序。
(5) 風險緩解與處理策略
根據風險評估結果,制定風險處理計劃。這可能包括:
(6) 持續監控與審查
定期進行安全審查和監控,確保網路安全措施隨著新威脅的出現得到更新。持續監控可以及時發現並應對潛在威脅。
(7) 應急應變計劃
在發生資安事件後,必須有一個快速應變計畫,包括事件應對流程、恢復業務運行、以及如何通知受影響的利害關係人。設立明確的應急響應流程,以便在危機發生時迅速採取行動。
前述CARMA框架聚焦於風險管控,若要更全面落實資安管理,建議可以思考將資安管理融入內部控制制度(Internal Control-Integrated Framework)。企業組織的內部控制有三道防線:第一道防線是各單位就業務範圍承擔各自風險,應對風險特性設計執行有效的內部控制程序;第二道防線包含風險管理、法令遵循或特定專業單位,負責整體風險管理政策訂定、監督整體風險承擔能力及承受風險現況;第三道防線為內部稽核單位,獨立執行稽核業務,查核與評估風險管理及內部控制制度是否有效運作。
在農企業內部控制中落實資安管理,可以依循三道防線的框架來加強風險管理,透過下列原則能有效整合資訊安全管理,確保智慧農業的資訊和系統安全。
第一道防線:業務單位的風險承擔與控制
第二道防線:風險管理與法規遵循
第三道防線:內部稽核與評估
依循「Committee of Sponsoring Organizations of the Treadway Commission」(簡稱COSO)的報告,內部控制的五大組成要素:控制環境、風險評估、控制作業、資訊及溝通、監督作業。將內部控制三道防線以下表來做理解,那三道防線所指的單位就是所謂的控制環境,像是設置資安長、資安專責單位、主管及人員就是為了開始建立資安制度的控制環境,這只是基礎,更重要的是怎樣著手規劃後續的風險評估、控制作業、監督作業等,要有具體的做法才能導引企業將資安融入內部控制制度。
像是上市上櫃公司要將資安融入內部控制制度,一定會參考證券櫃檯買賣中心發布的「上市上櫃公司資通安全管控指引」,該指引內容雖有10章但只是簡單的37條,扣掉第1章總則及第10章附則,第2章至第9章才是重點,我們將各章標題列於下表,就會發現幾乎是整個引用《資通安全管理法施行細則》第6條規定公務機關訂定資通安全維護計畫應包括事項。
於是,我們可以理解,公務機關從2019年就先行的資安法合規方向是很好的參考標竿,不論是上市上櫃公司,還是開始進入智慧農業時代的農企業,或是提供資訊平台的資服業者,在尚未準備好全面落實資安管理達成國際標準ISO 27001規範要求,先比照公務機關訂定資通安全維護計畫,以及適度參考筆者近期的《資通安全法合規研究與管理實務指引》著作,從高層參與到風險評鑑、委外管理及內控整合等各個方面,找到適合執行的實踐方式。