你出貨的設備,安全嗎?
2026年4月23日Cyber Security從波蘭能源攻擊事件 看台灣製造商的產品安全缺口與 CRA 合規策略
2025 年底,波蘭超過 30 座風力與太陽能電場的工業控制設備在同一天遭到癱瘓。攻擊者不是勒索、不是竊密,而是直接摧毀——透過未更改預設密碼的問題,完整取得設備的最高管理權限,藉由上傳惡意韌體讓控制器陷入無限重啟,或是用惡意程式覆寫資料。
這場攻擊發生在波蘭的嚴冬,但它傳遞的訊號對台灣的設備製造商而言同樣寒冷:事件中被攻擊的 RTU 控制器、序列埠伺服器、保護繼電器、HMI 人機介面——正是台灣網通、工控與儲能設備製造商的核心產品類別。被利用的每一個弱點——預設密碼、未加密通訊協定、未驗證的韌體更新機制——都是我們在產線上仍在出貨的現況。
本文從產品決策者的視角,拆解這場事件對台灣製造業的三層影響:產品安全設計缺口、歐盟法規的市場准入壓力,以及先行者可以掌握的競爭優勢。
一、你的產品出了什麼問題:攻擊者利用的不是高深漏洞,而是基本設計疏忽
波蘭 CERT Polska 的技術報告詳細記載了攻擊者在每一台設備上的具體操作。最令人不安的不是攻擊手法有多精密,而是它們有多簡單:
| 被攻擊設備 | 攻擊者做了什麼 | 為什麼能成功 |
| Hitachi RTU560控制器 | 透過網頁介面上傳含0xFF無效指令的惡意韌體,使處理器陷入無限重啟 | 使用原廠預設帳號「Default」登入;韌體上傳未驗證數位簽章所上傳的韌體檔案是否遭到篡改 |
| Mikronika RTU控制器 | 以root權限登入SSH服務,執行指令刪除整台設備的Linux檔案系統 | SSH服務使用原廠預設密碼,部署後從未變更 |
| Hitachi Relion 650 IED 保護繼電器 | 透過FTP服務刪除設備運作所需的關鍵系統檔案 | 預設開啟FTP ,且預設帳密未變更 |
| Moxa NPort序列埠伺服器 | 將設備恢復原廠設定、更改管理密碼,並且將IP改為127.0.0.1,讓系統管理者無法透過網路進行存取 | 未限制可存取管理介面,且未設存取控制,預設開放之來源IP地址,且未變更預設帳密 |
| Windows HMI人機介面 | 透過RDP服務登入,並植入DynoWiper惡意程式破壞資料 | 使用弱密碼登入,SMB 共享資料夾未設權限預設開啟功能 |
一個共同模式浮現:攻擊者不需要零日漏洞。他們利用的是產品出廠時就存在的設計選擇——強制變更、韌體簽章驗證、最小化攻擊面。這些不是「部署端的問題」,而是產品設計階段就能決定的事情。
更關鍵的是,這些設備在30多座電場中以相同的預設配置進行大量部署。攻擊者只要破解一種部署範本,就能同時癱瘓整條供應鏈上的所有同類型的基礎設施——波蘭CERT與Dragos威脅情報機構將此稱為「可重複攻擊」(Repeatable Attack),這是分散式能源快速擴張中標準化設計的結構性代價。
產品首次開機時,是否可以不設定密碼或不變更預設密碼就直接進入操作介面?
韌體更新機制是否具體驗證更新檔案真實性的機制?
產品是否仍預設開啟FTP、Telnet或HTTP等不安全的通訊協定?
如果你的客戶以相同配置在50個站點部署你的產品;當一個漏洞被發現時,曝險範圍有多大?
韌體更新機制是否具體驗證更新檔案真實性的機制?
產品是否仍預設開啟FTP、Telnet或HTTP等不安全的通訊協定?
如果你的客戶以相同配置在50個站點部署你的產品;當一個漏洞被發現時,曝險範圍有多大?
二、法規不再只是文件工作:EU CRA正在把產品安全變成市場准入門檻
本次發生在波蘭事件,不會只停留在資安社群的討論中。它為歐盟網路韌性法案(Cyber Resilience Act, CRA)的要求提供了最具說服力的現實佐證——CRA所規範的,正是這場攻擊中每一個失效環節的對立面。
| 波蘭事件的失效模式 | CRA 要求製造商做到 | 條文依據 | 不合規的後果 |
| 設備以預設帳密上線,首次開機未強制變更 | 產品須以安全預設配置出廠(Secure by Default) | Art. 13(2), Annex I Part I §1(d) Part I(b) | 1. 產品無法取得 CE 標誌,不得於歐盟市場銷售 2. 承擔產品安全缺陷的法律責任 最高可處 1,500 3. 萬歐元或全球營收 2.5% 之罰鍰 4. 「出貨即結束」(Ship and Forget) 的商業模式不再合法 |
| 被篡改過的韌體可被成功執行,設備未驗證更新檔案是否為遭到修改 | 安全更新機制須確保真實性與完整性 | Art. 13(5), Annex I Part I §1(f) 2(2)(f) | |
| 事件後資產擁有者無法判斷哪些設備受影響 | 製造商須提供產品識別資訊 | Art. 13(15) | |
| 多家供應商設備弱點被利用,無協調式揭露管道 | 製造商須建立回報已被利用的安全漏洞 | Art. 13(6) | |
| 部署後缺乏安全監控與更新機制 | 在產品預期壽命內持續提供安全更新 | Art. 13(8) |
CRA預計2027年全面施行。屆時,不符合安全要求的「具數位元件之產品」(Products with Digital Elements)將無法進入歐盟市場。這涵蓋了網通設備、工業控制器、儲能系統中的能源管理模組、智慧電網設備等台灣製造商的主力出口品項。
重要的是理解CRA的規範邏輯:它不只要求產品在出廠時符合安全標準,更要求製造商對產品的「全生命週期」負責——包括部署後的弱點監控、安全更新提供、以及事件發生時的通報義務。這意味著台灣製造商長期習慣的「出貨即結束」(Ship and Forget)商業模式,在歐盟市場將不再合法。
不只是歐盟:美國聯邦採購也在淘汰不安全的邊界設備
歐盟CRA不是唯一的市場准入壓力。2026年2月5日,美國CISA發布了具約束力的行政指令BOD 26-02(Binding Operational Directive 26-02: Mitigating Risk From End-of-Support Edge Devices),要求所有美國聯邦民用行政機構在12至18個月內清查並汰換所有已終止支援的邊界設備(End-of-Support Edge Devices)——涵蓋路由器、防火牆、VPN閘道器、負載平衡器、網路安全設備。
CISA在指令中明確指出:「國家級威脅行為者正在大規模利用已終止支援的邊界設備」,並將波蘭能源攻擊事件列為佐證。五天後(2月10日),CISA與美國能源部(DOE CESER)聯合發布專項警示,直接引用CERT的報告,強調三項結論:邊界設備弱點是首要攻擊入口、缺乏韌體驗證的OT設備會遭受永久性損壞、預設密碼問題不限於特定廠商。
對台灣製造商的意義:你的產品如果被美國聯邦客戶列入 EOS(End-of-Support)清單,且你沒有提供具備安全合規功能的替代機種,你的產品將直接從聯邦採購選項中消失。BOD 26-02要求機構在24個月內建立持續發現機制,這意味著「曾經賣進去的設備」也面臨被汰換的風險。歐盟CRA從供給端要求產品安全設計,美國BOD 26-02從需求端清除不安全產品——兩個市場的監管方向正在收斂。
三、先行者的競爭優勢:安全合規不是成本,是市場定位
法規壓力是事實,但將其單純視為成本是短視的。對提前佈局的製造商而言,CRA合規帶來的是三層競爭優勢:
3.1 市場准入的時間差
2027年施行時,所有在歐盟市場銷售的相關產品都必須合規。但合規準備——從安全開發生命週期(SDL)建立、產品安全評估、SBOM 建置、到 PSIRT 流程設計——通常需要12至18個月。現在開始準備的廠商,在2027年門檻生效時能順暢進入市場;還沒動的競爭者則面臨產品下架或延遲上市的風險。這個時間差就是你的窗口。
2027年施行時,所有在歐盟市場銷售的相關產品都必須合規。但合規準備——從安全開發生命週期(SDL)建立、產品安全評估、SBOM 建置、到 PSIRT 流程設計——通常需要12至18個月。現在開始準備的廠商,在2027年門檻生效時能順暢進入市場;還沒動的競爭者則面臨產品下架或延遲上市的風險。這個時間差就是你的窗口。
3.2 B2B採購中的信任溢價
波蘭事件後,歐洲能源營運商在設備採購規格中增加IEC 62443合規已是可預期的趨勢。美國CISA也在事件後發布了針對OT/ICS安全缺口的公告。在關鍵基礎設施的採購決策中,能提供完整安全合規證明——包括第三方檢測報告、SBOM文件、弱點揭露政策——的供應商,在價格之外具備額外的信任溢價。對價格競爭激烈的台灣ODM/OEM而言,這是從「成本競爭」轉向「價值競爭」的具體途徑。
波蘭事件後,歐洲能源營運商在設備採購規格中增加IEC 62443合規已是可預期的趨勢。美國CISA也在事件後發布了針對OT/ICS安全缺口的公告。在關鍵基礎設施的採購決策中,能提供完整安全合規證明——包括第三方檢測報告、SBOM文件、弱點揭露政策——的供應商,在價格之外具備額外的信任溢價。對價格競爭激烈的台灣ODM/OEM而言,這是從「成本競爭」轉向「價值競爭」的具體途徑。
3.3 合規投資的複用效益
IEC 62443(工業自動化安全)與CRA的技術要求有大量重疊:安全開發流程、弱點管理、滲透測試產品安全評估。同時準備兩項合規的廠商,可以共用約60-70%的技術準備工作加上 ETSI EN 303 645(消費性IoT安全)的收斂趨勢,系統性地規劃安全合規路徑,能避免重複投資並加速進入多個市場。
IEC 62443(工業自動化安全)與CRA的技術要求有大量重疊:安全開發流程、弱點管理、滲透測試產品安全評估。同時準備兩項合規的廠商,可以共用約60-70%的技術準備工作加上 ETSI EN 303 645(消費性IoT安全)的收斂趨勢,系統性地規劃安全合規路徑,能避免重複投資並加速進入多個市場。
四、具體行動路徑:從現在到 2027 年
以下是依據波蘭事件揭示的產品安全缺口,結合 CRA 合規要求,為台灣製造商提出的分階段行動建議:
五、結語:下一場波蘭事件發生之前
波蘭事件是首次針對分散式能源基礎設施的大規模破壞性攻擊,但不會是最後一次。Dragos 威脅情報機構已明確指出,具備ICS攻擊能力的國家級組織正將目標從防備森嚴的主幹電網,轉向防護薄弱的分散式邊緣設施——而這些設施中運作的,是台灣製造商的產品。
這不是威脅,而是市場正在發出的訊號。能夠回應這個訊號的製造商——在產品中實踐 Secure by Design、在合規上超前部署——將在全球供應鏈的信任重組中佔據有利位置。
DEKRA 德凱集團為全球領先的檢測、認證與合規服務機構。Onward Security(DEKRA德凱集團成員)專注於物聯網與工業控制系統的網路安全檢測與合規服務,在產品安全評估、IEC 62443 合規諮詢、EU CRA 準備、滲透測試與弱點管理領域,協助設備製造商建立從設計到上市的系統性安全能力。
DEKRA 是全球少數同時具備功能安全(Functional Safety)、網路安全(Cybersecurity)與 AI 保證(AI Assurance)三合一服務能力的 TIC 機構,既是合規顧問也是第三方驗證機構。
DEKRA 是全球少數同時具備功能安全(Functional Safety)、網路安全(Cybersecurity)與 AI 保證(AI Assurance)三合一服務能力的 TIC 機構,既是合規顧問也是第三方驗證機構。
歡迎預約免費 CRA 合規快速診斷,瞭解您的產品合規現況與優先行動項目。