台北 — 

近日台湾海底电缆接连出现断裂，重型电机公司和大型医学中心也遇黑客攻击，引发外界对台湾数位安全与关键基础设施防护的关注。有关专家分析，这几起黑客攻击事件很大程度与来自中国的犯罪者有关。他们认为，不管是北京当局意图对台湾进行灰色地带的侵扰，还是犯罪分子进行商业勒索，台湾都需要重新检视其资讯安全策略并加以强化。

台湾海底电缆疑再成中国灰色战目标

据台湾媒体中央社报道，台湾总统兼任民进党党主席赖清德于2月19日在民进党中常会上表示，海底电缆是各国关键基础设施，同时也是各国通讯最重要的命脉，但却十分脆弱，世界各国已经将海底电缆遭破坏视为典型的灰色地带侵扰手段，政府会积极行动，守护台湾数位生命线。

赖清德的这番讲话针对的是台马二号、三号等连接台湾与离岛马祖的海底电缆日前因线材老化或疑似遭到中国船只破坏等因素断裂的事情。

台湾数位发展部（数发部）2月16日发布新闻稿说，台马二号海缆因芯线断裂障碍，进一步发展成全断状态的事件。数发部指出，最快要等到约2月底甚至是3月底才能完成台马二号海缆的修复。

尽管台湾负责海岸巡防的海巡署仍在调查这起事故的详细原因，但台湾国立高雄大学科技法律研究所教授、专精数位法制研究的罗承宗推测，整起事件很可能与过往海底电缆受损案件如出一辙，疑似由与中国有关的船只破坏所致。

罗承宗告诉美国之音：“这个行为可不可能是有其他的外国的敌对势力介入，来去做这样的一个灰色作战的话，我认为很有可能，原因就在于说这样的行为表面上看不出任何的经济利益，可是这一些以民用船机当作一个伪装的商船，又想去做这个事情的话，表示它背后一定有动机。假设它是在同一个时间把所有的电缆都弄断的话，那其实（对）台湾会造成恐慌。”

专精网路威胁研究的杜浦数位安全（TeamT5）技术长李庭阁也对美国之音说，根据内部团队研究，中国疑似从去年11月起开始，就针对台湾网路通讯业者进行大规模的攻击行动，因此这次海底电缆遭到破坏，很有可能也为中共一连串对台协同作战的一部分。

他说：“这一切可能都是中国在为未来的两岸情势紧张，做一些准备的动作。”

台医院首遭大规模黑客攻击 可能与中国有关？

除了海底电缆断裂，近期台湾的资讯安全领域也面临多重严峻挑战。据媒体报道，台湾的马偕医院于2月9日至2月11日遭勒索软体“CrazyHunter”攻击，一度造成门诊及急诊超过500台电脑当机、挂号系统停摆的事件。

马偕医院稍早表示，2月9日发现系统异常后，立即启动资安紧急应变作业流程。台湾的卫生福利部（卫福部）及数发部资通安全署（资安署）也已介入协助，不过恐吓信内容因案件侦查中，不便公开。

马偕在声明稿中说，媒体报导指黑客声称窃取患者个人资料并威胁公开，但专家比对后发现，这些资料格式与马偕医院并不符，系统内也未发现任何个人资料外泄情况。

由于马偕医院是台湾北部重要的医学中心，遭黑客攻击引起各界关注。台湾卫福部资讯处长李建璋稍早表示，这是台湾医院“第一次遭到如此大规模，且直接扬言要进行二度、三度攻击的案件。”

他说，初步研判，黑客可能来自前俄罗斯的一些共和国。

针对这一事件，台湾数发部资安署署长蔡福隆2月19日做出最新回应，表示将规划推动关键基础设施资安的深度检查，以强化防护能量。

然而，谈到此次事件黑客的攻击来源，杜浦数位安全技术长李庭阁与李建璋的看法稍有不同。

他说：“马偕医院我们也有收集到一些相关的攻击的恶意程式样本，我们自己的关联分析结果显示，我们有高度的信心（黑客攻击）是来自中国。原因是我们透过一些关联分析，有找到一些攻击者在之前的进行攻击样本的测试，还有包括针对一些公司单位的攻击行动，所以我们相信这个攻击是来自中国。”

对于台湾观察人士怀疑台湾海底电缆断裂及马偕医院资安事件可能与来自中国的犯罪者有关，美国之音尝试通过电话及以电子邮件向中国国务院台湾事务办公室（国台办）、负责通信网络安全与信息安全管理的中国工业和信息化部（工信部），以及中国外交部提出置评请求，但至截稿前未获回应。

网军从政治操作转向只求赚外快

杜浦数位安全技术长李庭阁分析说，马偕医院遭黑客袭击的事件中，可能来自中国的犯罪者并不具有政治目的，也许只是单纯希望拿到勒索赎金。

他说：“我们公司从事所谓的中国网军的研究已经很长一段时间。我们观察到近期两三年有一个趋势，就是这些所谓的中国网军，他们开始进行以金钱为目的的网路犯罪行动，这可能包含了勒索软体攻击，或者是比特币的窃取。”

这位网络安全问题专家说，这些纯粹以取得金钱为主的攻击行动，与以往通指受到特定政府机构支持而所进行一些情报窃取的网军行径不太一样。

至于为何现在以谋取经济利益为主的中国网路黑客日益增加，李庭阁认为，这可能与中国近年的经济萧条有关。

李庭阁说：“为什么会出现这样子的现象？我们目前初步的推论，有可能是中国那边的经济状况，导致这一些所谓的网军，他们过去倚赖政府的（赚钱）模式，可能遭遇到了一些困难，所以他们必须找寻其他的管道，来帮他们赚取额外的金钱。”

犯罪者若与政客串通 消费行为可能被操控

一名因议题敏感而不愿透露任职企业名称的科技公司副总监李重志也认同李庭阁的看法。他说，这次马偕医院遭黑客入侵的手法，并非过往常见的中国黑客为求达政治目的的手段，而是典型的勒索，“求取最有效、CP值要高（的方式），就是好勒索、好攻击，他们也愿意会缴钱的这些公司企业”。

李重志认为，若此次犯下马偕网攻的不法分子确实来自中国，医院又有资料遭黑客窃取，虽然这些黑客可能跟中国政府未有直接关系，但后果将不堪设想。

李重志告诉美国之音，“（如果）马偕医院资料(被）勒索勒索完了，被政治团体、或者是这个敌国他们拿去了，那问题就来了。举个例子，前一阵子（台湾）高铁会员的资料，被（黑客）用暴力破解闯入，这个当然是蛮低阶黑客求取利益的做法，但是他们如果把这些高铁会员的消费纪录拿上去卖，或者直接转手给中国，可以误导有些会员集中买哪一些路段的车子，必要时，在车子哪个行经的路段造成事故。”

台湾高速铁路股份有限公司在去年8、9间，陆续遭到黑客利用“撞库攻击”（Credential Stuffing），也就是收集大量网路上已泄露的用户名和密码，不断试图登入网站的方式，成功诈取会员点数。

台重电资安若遭中国窃取 电力、轨道业者恐也遭殃

除了马偕医院以外，台湾重电大厂华城电机股份有限公司也于2月9日在官网发布讯息表示，该公司2月8日发生网路资安事件。

华城表示，该公司资安部门查知遭受加密攻击时，就已启动相关防御机制与复原作业，因此并未有公司资通系统或官方网站遭攻击致无法营运或正常提供服务，也尚未发现有个资或文件资料外泄之情事，因此没有造成公司重大损害，后续将持续提升网路与资讯基础架构之安全管控。

不过，华城仅提供了此次事件的部分细节，且未透露加密攻击的来源。

美国之音试图联系华城以了解更多情况，包括对黑客组织的初步判断，但截稿前仍未获回应。

一家科技公司的副总监李重志认为，由华城透露的有限资讯来看，很难判断攻击来源究竟是否来自中国黑客。不过即便不是中国黑客所为，也可将窃取来的原始码或相关资料在暗网上卖钱，这就很有可能被与中共当局相关的有心人士窃取，进而引发更严重的资安风险。

李重志告诉美国之音 ：“因为现在的很多重电设备，它其实是可以有远端遥控，它必须要上网取得token（凭证），或者是一个license（授权），那譬如说艾司摩尔(ASML，即荷兰半导体设备大厂阿斯麦)，它就可以远端把台积电的机子关掉，连网也可以透过更新版本的过程之中，对你的机器设备产生一定的控制，所以联网的加密安全是非常重要的。今天华城电机（被黑客）取得的资料，如果里面有他们电机设备里面的BIOS原始码(指系统最底层的韧体程式），对于华城的所有客户都是一个潜在的威胁。”

李重志还说，若华城电机的网路资安事件背后主嫌为中国黑客，而且其设备有采用OTA（Over-the-Air，远端更新技术）的产品，客户很可能落入“不可控的风险处境”，而由于台湾像是台湾电力公司及轨道运输业者经常使用类似的设备，等同这些机构也将造受巨大的资安威胁。

分析：台湾应检视其资讯安全策略

台湾国立高雄大学科技法律研究所教授罗承宗提醒，近期台湾数起包含重电及医疗机构的网攻事件，可能暴露出民间企业资安意识的不足。他认为，最近发生的电缆断裂以及医院和电力公司等遭黑客袭击的事件凸显出台湾在面对新型数位威胁时，防护措施明显不够完善，因此台湾政府应重新检视其资讯安全策略并加以强化。

罗承宗说：“中国是有很强的网军，就真的是军队，那针对所谓训练军队级的黑客，来去进行你国家攻击的时候，相较之下，我们到目前为止，对于这种资讯防御的概念是很弱的，我们目前因为组织太僵化了，导致说这一块其实是一个很大的一个漏洞。人家是军规的黑客，那我们拿什么跟人家对抗？我觉得这个东西可能是台湾政府要比较严肃思考的问题。”