2025年8月8日,香港《關鍵基礎設施(電腦系統)保護條例》正式生效,要求指明關鍵基礎設施營運者進行風險評估、實施安全措施並建立事故報告機制。然而條例生效後的首個季度,全球關鍵基建即遭遇多起重大攻擊,暴露了供應鏈依賴與技術防護的系統性弱點。本文分析兩起代表性事件,對照條例要求,為香港營運者提供實務參考。
案例一:Collins Aerospace供應鏈攻擊——單點故障的連鎖反應
事件概況與衝擊
2025年9月19日夜間,歐洲多座主要機場的旅客報到系統突然全面癱瘓。受影響機場包括倫敦希斯洛、布魯塞爾、柏林及都柏林。調查發現,攻擊目標並非機場本身,而是RTX集團子公司Collins Aerospace開發的vMUSE自助服務軟體——該系統負責跨國機場的報到、行李標籤與登機作業。
歐盟網路與資訊安全局(ENISA)證實此為第三方勒索軟體攻擊,英國國家犯罪署於9月24日逮捕一名嫌犯。攻擊造成數千旅客滯留、數百航班延誤,布魯塞爾機場被迫取消週一近半數航班,平均每班延誤約1小時。機場雖啟動人工作業應變,但效率大幅降低,系統修復工作持續數日。
供應鏈作為關鍵攻擊向量
此次攻擊凸顯關鍵基建的核心脆弱性:供應鏈集中度風險。Collins Aerospace作為全球航空報到系統主要供應商,其單一系統中斷即可同時癱瘓多國機場營運。
EclecticIQ執行長Cody Barrow指出:「攻擊者鎖定單一廠商即可跨國中斷機場營運,這是供應鏈風險的教科書案例。」
攻擊手法推測:
雖具體細節未完全公開,但供應鏈攻擊的常見路徑包括:
- 初始入侵:透過網路釣魚或漏洞利用取得供應商內部網路存取權
- 橫向滲透:在供應商網路中移動,尋找關鍵系統存取點
- 勒索軟體部署:鎖定vMUSE系統後加密關鍵檔案,由於系統透過網路連線服務多地,單點加密即造成跨國影響
系統性風險:
航空業高度依賴緊密協調的系統,報到系統故障不只造成排隊,更對航班時刻表、轉機銜接、機組調度產生骨牌效應。此案暴露的核心問題:
- 關鍵功能由單一供應商壟斷,缺乏有效備援
- 機場對供應商安全狀況缺乏持續監控
- 應變流程依賴人工作業,但人員對舊有流程熟練度不足
對照條例要求:
條例第9條要求營運者「實施網絡安全措施」,但條文未明確要求供應鏈風險管理。Collins案例顯示,香港營運者在實施第9條時應將供應鏈風險納入:
- 定期評估關鍵供應商的安全狀況(滲透測試、程式碼檢測)
- 要求供應商提供軟體物料清單(SBOM)與漏洞修補時程
- 建立供應商資安事件通報機制
- 制定供應商系統中斷時的應急程序(備援供應商、人工流程)
條例第10條要求事故報告,但真正考驗在於:事故發生後多快能啟動應變?應變團隊如何在有限資訊下判斷影響範圍並採取行動?這些能力無法透過文件稽核驗證,必須透過實際演練建立。
案例二:羅馬尼亞水務局BitLocker濫用攻擊
2025年12月20日週末,羅馬尼亞國家水資源管理局遭受攻擊,約1,000個電腦系統受影響,涵蓋地理資訊系統、資料庫、電子郵件及工作站。
關鍵技術特徵:攻擊者並未使用傳統勒索軟體,而是濫用Windows內建的BitLocker加密功能進行惡意加密。
這種「Living off the Land」策略利用合法系統工具,具備三大優勢:端點防護通常不會將BitLocker視為威脅、無需部署惡意軟體降低被攔截風險、加密效率高可快速鎖定大量系統。值得注意的是,水務營運的OT系統(水壩、防洪設施)未受影響,顯示IT/OT網路隔離有效。
此案凸顯合法工具惡意濫用的新趨勢。對照條例第8條(風險評估),評估不應僅關注外部威脅,也需檢視內部帳號權限管理、特權操作監控與異常行為偵測。紙上評估難以發現此類攻擊,唯有透過模擬場景測試安全團隊能否偵測異常的BitLocker啟用行為。
趨勢分析與香港啟示
從合規到韌性
兩起案例揭示關鍵洞察:合規不等於安全。條例要求風險評估、安全措施與事故報告,但實際威脅環境顯示:
- 技術防護再完善,供應鏈弱點仍可成為突破口
- 合法工具濫用難以透過傳統防護攔截
- 紙上流程與實戰能力存在顯著落差
香港關鍵基建營運者需超越「完成合規要求」思維,建立真正營運韌性:
1. 供應鏈韌性建構
不僅評估供應商資安,更要建立多元化策略與備援機制。Collins案例證明,依賴單一供應商的關鍵系統必須有應急方案。
2. IT/IOT邊界防護
羅馬尼亞案例的正面教材在於IT系統受影響但IOT系統未受波及。香港電力、水務、交通系統營運者應採取嚴格網路分段,限制跨邊界存取,部署端點偵測方案。
3. 偵測能力升級
投資於行為分析與異常偵測,而非僅依賴特徵碼比對。BitLocker濫用攻擊證明,攻擊者不再依賴客製化惡意軟體,傳統防禦策略需要演進。
4. 實戰演練的不可替代性
條例第15條賦予專員審查權力,未來稽核可能包括:營運者是否進行實戰演練?演練場景是否涵蓋供應鏈中斷、合法工具濫用等新型威脅?真實攻擊場景的模擬可幫助營運者發現風險評估遺漏的盲點、測試應變流程在壓力下的有效性、訓練團隊在資訊不完整情況下的決策能力。
結語
2025年全球關鍵基建攻擊事件證明,威脅環境持續演進,攻擊者不斷尋找新突破口。
《關鍵基礎設施條例》的生效為香港建立了監管框架,但真正防護能力需要營運者在合規基礎上,持續強化供應鏈管理、技術偵測與實戰應變韌性。
面對日益複雜的威脅,關鍵基建營運者需要的不僅是符合條例要求的文件與流程,更需要在真實攻擊場景下驗證並提升團隊能力。
ALFARIA Cyber Range提供貼近實戰的網絡安全演練環境,協助營運者透過模擬攻擊場景測試應變能力、發現防護盲點,並持續提升團隊在高壓情境下的決策品質——這正是將合規要求轉化為實質安全韌性的關鍵。
