大眾運輸系統的資安脆弱性源於其高連結性與開放性,使系統長期暴露於攻擊風險。因運輸關聯人流密集、接點眾多,一旦遭攻擊,影響不僅為服務中斷,更威脅公共安全與社會信任。有效防禦須以人為本,使資安韌性成為城市治理與公共財的一部分。
無論網路攻擊目標是何種關鍵基礎設施,其影響往往直接波及社會全體,而大眾運輸系統的資安風險尤為牽一髮而動全身。一旦運輸系統遭受攻擊,所引發的風險不僅限於服務中斷,甚至可能威脅乘客的生命安全。相較於貨物運輸聚焦於貨物與營運中斷的成本損失,大眾運輸運載的是人,因此,當網路攻擊癱瘓了售票系統或班車時刻表系統時,受影響的不僅是服務中斷,還可能波及民眾的日常生活、公共安全,甚至是整體社會對運輸系統的信任。
大眾運輸系統的結構性弱點
即便是最先進的大眾運輸系統,其資安防護往往仍非設計核心。系統開發通常以營運效率、使用便利性、服務不中斷為優先,導致資安設計多為附加條件,而非基本原則。
全天候連線的風險
現代大眾運輸系統建立於高度複雜的網路架構之上,涵蓋多個相互協作的子系統。TXOne Networks在《2024年OT/ICS網路資安年度報告》中指出,約85%的營運技術(Operational Technology, OT)環境缺乏定期修補,而運輸系統亦不例外。此類修補延遲可能導致已知漏洞長期暴露,增加系統面臨攻擊的風險。
開放性與風險性
大眾運輸系統的開放設計本身即構成潛在攻擊面。例如在捷運站,幾乎不存在可信任的使用者;售票機等終端設備難以導入多因素認證(Multi-Factor Authentication, MFA),因此售票機、公共Wi-Fi網路,甚至內部通訊系統均暴露於高風險之中。尤其當設備硬體老舊或長期缺乏更新時,遭入侵的機率會顯著增加。
預算壓力
大眾運輸系統通常占據政府預算的一定比例,然而資安投資卻相對不足。多數預算優先分配於人員薪酬、系統維護以及確保運作不中斷等日常營運,導致資安防護往往被視為次要,被迫延後。TXOne報告指出,僅25%的企業能夠完整掌握其OT系統的資產可視性,突顯資安治理能力與整體防護成效的明顯缺口。
大眾運輸系統並非單一攻擊面,每個乘客接觸點皆可能成為潛在破口,主要風險包括:
- 實體存取風險:車站空間開放加上人流密集,實體存取公用電腦往往難以立即發現。
- 缺乏認證機制:大眾運輸系統多設計為匿名搭乘,使多因素驗證部署難以實現。
- 端點眾多:一個城市可能有數十個車站和相關設備,維護與更新管理相對困難。
- 資安預算有限:營運成本需在各項運輸服務間分配,留給網路與系統安全的經費通常有限。
- 備援不足:備援系統相當罕見,一發生中斷就可能讓核心服務停擺。
- 能見度高:大眾運輸服務中斷或資安事件都可能引發媒體與社群放大效應。
以人為本的資安防禦思維
當基礎設施的使用者是大眾時,即便在資源有限的情況下,重點不應僅止於防護系統,而應強調確保在安全事件或系統故障發生時,人員的流動性與服務體驗能維持穩定。這是以人為本的資安設計之真正意涵。
強化韌性
預防勝於治療仍是OT資安防護的基本原則,但對於大眾運輸系統而言,面對異常或攻擊時的回應能力與恢復能力同樣至關重要。以下策略可作為實務參考:
在維持系統安全的同時,更要將持續營運視為優先,以廠商TXOne的產品EdgeIPS為例,透過多重失效防護模式,將持續營運的重要性放在資安之前,即使資安裝置故障也不會影響網路流量,確保營運不受影響。
針對關鍵控制系統,可透過手動切換機制降低自動化依賴,在異常發生時可以讓營運專業人員取回操作控制權,維持基本運作。
針對無法立即更新或無法停機修補的系統,可採用虛擬補丁的方式,基於網路封包來達成入侵防護與過濾針對系統漏洞的攻擊,以保護這些未修補的資產。此舉可在不影響營運的前提下降低風險暴露,並提升偵測能力。
以復原為先
政府與營運單位必須針對OT中斷情境制定專門的事件回應計畫,以確保系統能在最短時間內恢復運作。
透過網路區隔,將受災區域隔絕於正常區域之外,依照營運任務重要性設定先後緩急次序,逐區修復,逐區恢復上線。
由資安管控中心迅速掌握情況並做出決策及相對應的通知,例如調整服務路線或透過既有的管道發送公開通訊。同時,可整合警報和通報流程,提高協同作業效率與資訊共享,確保相關人員立即收到威脅通知,縮短回應時間。
在攻擊期間,大眾運輸操作人員可能需要將控制權移轉至備援的派車中心,改變通訊路徑或重新規劃服務範圍。
將資安事件過程及調查結果向高層及監管機關進行匯報,不僅提供給監理機關做參考,也積極與所屬的運安資料分享與分析中心(Information Sharing and Analysis Center, ISAC)匯報,不僅維持社會大眾的信任,也可避免相同的資安事件一再發生。
優先防護薄弱環節
在制定網路資安策略時,公平性應被納入核心考量。雖然沒有任何單一資安產品能解決所有挑戰,但透過適當的防護設計,仍可確保關鍵系統的可用性與穩定性。對於仍在運行舊版Windows系統的老舊資訊站、售票機或電梯控制器,可採用應用程式白名單(Application Whitelisting)的方式作為基本防護,以降低惡意程式在系統更新期間橫向擴散的風險。
此外,對於臨時或移動端的設備,可透過隨插即用、免安裝軟體的資安檢測工具提供端點掃描,適用於車站資訊站或工程筆電等場景,協助在操作前與維修後進行快速安全檢測。對於可攜式媒體,如維運人員或外部廠商攜入的USB隨身碟,也可在安全檢查閘口增設移動裝置資安檢測機台並結合自動掃描與驗證流程,確保僅有乾淨、可信任的檔案能進入營運環境。
透過分層防護(Defense-in-Depth)措施,政府及公共單位可聚焦資源,優先保護最脆弱、最易受攻擊的部分,強化整體系統的防禦面向,確保旅客所依賴的運輸服務持續穩定、安全運行。
資安韌性成為公共財
當城市投入資源強化大眾運輸的網路資安時,其保護的範疇不僅限於資訊系統本身,更涵蓋了城市的尊嚴、行動性與信任基礎。資訊安全不應被視為附加選項,而應自設計之初即納入整體交通建設藍圖,成為系統規劃、財務預算與公共政策的一部分。唯有當資安韌性被視為公共財、納入城市治理的一環,才能真正落實「以人為本」的防禦思維。畢竟,每一條軌道、每一趟班次,背後連結的都是市民對公共服務的信任。當城市能在資安威脅下仍維持穩定運行,這不僅代表技術上的成功,更象徵社會信任與安全文化的具體展現。
(本文作者為TXOne Networks科技行銷協理)