資安人作者:余俊賢 -09/28/2009
委外廠商的權限管理一直是大漏洞之一,尤其是IT與資安相關的委外任務,除了簽訂保密NDA之外,確實執行與列於合約中的安全管理程序和賠償責任更不可免,此案例凸顯了對於委外人員的控管不落實,甚至根本沒有管理控制可遵循,而導致此可能造成嚴重災難與人命喪失的危機。
最近一則新聞把監視控制與資料擷取系統(SCADA, Supervisory Control and Data Acquisition)的安全性凸顯出來。加州Long Beach油品與天然氣公司的離職IT顧問竄改SCADA電腦系統,利用職務之便建立且未被刪除的系統帳號,在2008年五月至六月關閉與干擾瓦斯外洩偵測功能與大型鑽油平台的安控系統,美國FBI在2009年9月表示28歲的馬利歐(Mario Azar)將面對最長十年的刑期。
該員的職務原本是協助該公司建立各外點與總公司的通訊設備與網路,職務上獲得各種可以存取系統之帳號權限,這些系統是用於確保瓦斯不至於外洩與平台安全監控之用。而他在了解這樣做的嚴重後果後,還做出此違法情事,雖未真正釀成災難,但還是因此被處以重刑。再者,委外廠商的權限管理一直是大漏洞之一,尤其是 IT與資安相關的委外任務,除了簽訂保密NDA之外,確實執行與列於合約中的安全管理程序和賠償責任更不可免,此案例凸顯了對於委外人員的控管不落實,甚至根本沒有管理控制可遵循,而導致此可能造成嚴重災難與人命喪失的危機。
常見的SCADA問題,與常見資安問題十分相似,包含各種裝置使用通用密碼、廠商預設密碼,存取權限根本沒有控制、未加密的資料傳輸、沒有防火牆的觀念與建置、缺乏入侵偵測系統、網路品質與流量控制(似乎是柵湖線其中一個故障原因)等等。針對這些問題其實也已經有各種方案可用,像是SCADA所採用通訊架構的防火牆、入侵偵測與誘捕系統,以及針對平台作業系統的弱點修補。
再以台北捷運作為例子,捷運系統的電力設施、行控系統、列車開關門與例外處理均透過行控中心自動化管理與人員監控,但是仍有各種意外事故的發生,也不禁令人猜測其SCADA系統本身的整合性和資訊環境的安全性是否出問題,當然包含SCADA網路與委外廠商的資訊設備安控管制。而SCADA應該說是資安系統的祖師爺,很多控制和管理的觀念與現在資訊環境安全不謀而合,且極為相似。但是,鮮少SCADA系統建置與管理參考現行資安已臻成熟的控制措施,如弱點掃描、滲透測試與稽核觀念融入,均可協助大大改善整體系統的可靠度與安全性。