推動網路安全發展的背後動力：駭客、罪犯或恐怖主義？

這是一個基本的邏輯問題，瞭解敵人就知道哪裡有危險。面對網路戰爭威脅，就要注意軍事目標；如果是網路犯罪，就要關心金融機構，但若是駭客行為，那麼所有的企業與個人都是可能被攻擊的目標。

然而，駭客也不是笨蛋，只要轉一個彎，就可以攻擊到被嚴密防守的目標。例如攻擊電力網路可以癱瘓軍火商，攻擊交通系統也能阻礙部隊調動；若銀行不容易勒索，轉而勒索醫院也可取得大把的金錢。

而恐怖主義更加難以預測，任何足以破壞經濟發展或引起關注的攻擊行為都可以成為有效的武器。資訊分析公司 GlobalData 研究總監 Joel Stradling 在 NetEvents 大會上主張召回美國本土內多達 50 萬台心律調節器，因為恐怖主義份子可能透過駭客手段，威脅著心律不整的病患及其家屬，以達到散佈恐懼的目的。

物聯網 (IoT) 成為實現恐怖主義的溫床，將原本僅限於數位世界的傷害帶到了現實世界，駭入心律調節器可能會傷害人命，駭入電力或水利網路則可能造成城市災難。另一方面，IoT 網路讓原本已經建立防禦系統多年的 IT 世界，突然要連接一個在安全方面落後 20 餘年的終端裝置，這代表 IT 管理人員除了傳統的 IT 網路，現在更要將終端裝置納入到安全策略之中。

Optiv 歐洲策略與技術總監 Andrzej Kawalec：「IoT 強迫我們面對『裝置』這個問題，過去幾十年來我們一直沒有考慮到散佈在生活周遭與工業廠商中的裝置，而現在為了要解決安全隱患，我們必須深入瞭解到，數位犯罪的全球網路幾乎無所不能，包括惡意軟體即服務、勒索軟體即服務等攻擊服務，讓企業遭受到難以想像的殭屍網路攻擊。

同時，網路犯罪與毒品運送也滋養著恐怖主義，IT 技術也無意間擴大了獨立恐怖事件的影響力，Andrzej Kawalec 指出「網路犯罪的獲利已經取代了全球非法毒品交易，英國國家犯罪機構已經不再將毒品列為最值得關注的領域前三名。

VMware 的 EMEA 副總裁暨技術長 Joe Baguley 則更加悲觀，他認為最大的問題是 IT 技術如何滿足 OT 安全需求。「以無所不在的攝影機為例，我發現便宜的 USB Webcam 沒有任何更新修補機制，只是因為人們來不及導入基本的物聯網部署，所以我們得做好未來將會面臨大規模物聯網網路安全失敗的可能性。」

Ziften Technologies 市場長 Roark Pollock 表示我們花了 20 多年才建立起成熟的安全框架，不論是 NIST 或其他框架，我們都可以將其快速應用在工控網路上，至少不能比研發框架的時間還久。Roark Pollock 建議企業應該要在內部建立一個演習對抗的團隊（紅色團隊），不斷砥礪企業的安全策略與工作，「因為一旦發生安全事件，一切為時已晚。」Roark Pollock 說道。

參考網址：https://tv.netevents.org/documentary-global-threat-landscape-cyberterrorism-defines-information-security/