你的 OT 場域，擋得住嗎？

2026年5月08日Cyber Security

從波蘭能源攻擊事件看 OT 資產擁有者的六項優先行動

2025 年 12 月 29 日，波蘭超過 30 座再生能源電場的變電站控制設備在數小時內同時遭到癱瘓。攻擊者的手段並非利用未知漏洞——他們用的是預設密碼、共用的 VPN 帳號、以及設備上預設開啟的不安全的網路管理協定。同一天，一座為近 50 萬用戶供暖的汽電共生廠也遭到滲透，Wiper 惡意軟體被大規模部署，意圖覆寫廠區內所有機器的資料。

最後的結果是：30 多座電場的控制設備實質報廢，但發電未中斷；汽電共生廠的 EDR 系統在最後一刻攔截了攻擊，供暖未受影響。

這個「沒出大事」的結果容易讓人放下警戒。但如果你管理的場域——儲能場站、工廠產線、能源設施——使用著同類型的設備，部署著類似的網路架構，委託著相同模式的維護合約，那麼波蘭事件提供的不是「別人的故事」，而是一份精確的風險評估參考。

這不只是我們的判斷。2026 年 2 月 10 日，美國 CISA 與能源部（DOE CESER）聯合發布專項警示，直接引用 CERT Polska 的報告，將這場事件定性為「凸顯 OT 與 ICS 安全缺口」的重大事件。CISA 在警示中總結三項關鍵教訓：邊界設備弱點是首要攻擊入口、缺乏韌體驗證的 OT 設備會遭受永久性損壞、預設密碼問題不限於特定廠商。同時，CISA 引用其五天前發布的 BOD 26-02 行政指令，要求美國聯邦機構全面清查並汰換已終止支援的邊界設備，並呼籲所有關鍵基礎設施營運者採取同等措施。

一、攻擊為什麼能同時打穿 30 座電場：問題出在你的供應鏈管理

多數資安事後分析會聚焦在「攻擊者用了什麼工具」。但對 OT 資產擁有者而言，更重要的問題是：「為什麼一次入侵就能擴散到我的所有站點？」答案不在攻擊端，而在你的供應鏈管理。

憑證重用：你的系統整合商就是你最大的攻擊面

波蘭事件中，攻擊者取得一組 VPN 登入帳密後，發現可以用同一組帳密登入 30 多座地理分散的電場。原因很簡單：系統整合商為了降低維護成本，在所有站點使用了相同的管理員帳號與密碼。

這不是波蘭獨有的問題。多數 OT 環境中，系統整合商使用共用 VPN 帳號進行跨站點維護。維護合約通常以固定費率計價，整合商沒有經濟誘因去為每個站點建立獨立的管理。結果就是：你以為每個站點都有獨立的安全邊界，實際上它們在邏輯上是同一個目標。

預設密碼：你的設備上線那天，攻擊者就已經知道密碼了

波蘭事件中，Hitachi RTU560 使用原廠預設帳號「Default」登入、Mikronika RTU 用 SSH 預設密碼取得 root 權限、Moxa NPort 的管理介面可直接存取——這些設備在部署後從未更改預設密碼。

對 OT 環境管理者而言，這反映了一個產業結構性問題：設備部署通常由整合商負責，營運商未必清楚每台設備的帳密狀態。而部署完成後的「安全交接」（Security Handover）——確認所有預設密碼已變更、非必要服務已關閉、存取權限已適當配置——在實務中經常被省略或僅做形式檢查。

「功能正常」不等於「安全」：IT 與 OT 防禦有效性的殘酷對比

波蘭事件中最有價值的一組數據是 IT 與 OT 環境的防禦對比：

	CHP 廠 IT 環境	再生能源廠 OT 環境
攻擊者行為	透過 GPO 大規模分發 DynoWiper 惡意軟體	上傳惡意韌體、透過SSH服務登入執行刪除檔案系統指令、透過FTP服務刪除關鍵檔案
防禦機制	EDR 系統透過金絲雀機制偵測到異常檔案修改，即時攔截	無任何動態偵測機制
結果	100+ 台機器的資料受到保護，供暖未中斷	大量控制設備硬體報廢，站點與 DSO 通訊中斷
啟示	EDR + 行為偵測在最後一道防線上有效	OT 設備一旦被突破，內部防禦幾乎為零

這個對比的啟示不是「OT 環境無法防禦」，而是：OT 環境需要不同於 IT 的防禦策略——從設備採購規格、網路架構設計到監控工具選擇，都必須針對 OT 的特性重新思考。

二、優先行動清單：依據攻擊鏈排序，從最高槓桿率開始

以下行動項目依據波蘭事件的因果鏈排序——從阻斷初始入侵到限制損害範圍。每一項對應事件中的具體失效點，讓你能直接評估自身場域的缺口。

以下行動項目依據波蘭事件的因果鏈排序——從阻斷初始入侵到限制損害範圍。每一項對應事件中的具體失效點，讓你能直接評估自身場域的缺口。
優先序 1 | 邊界設備全面啟用 MFA
對應失效點：攻擊者透過僅憑密碼的 FortiGate VPN 取得初始存取
具體做法：盤點所有對外開放的 VPN、網路管理功能及防火牆管理介面。尚未啟用 MFA 的設備或網路服務，在 30 天內完成部署；無法支援 MFA 的邊界設備，列入汰換清單。這是阻斷初始入侵最高槓桿率的單一措施——波蘭事件中，若 FortiGate VPN 啟用了 MFA，攻擊者手中的靜態密碼將完全無用。
優先序 2 | 消除跨站點憑證重用
對應失效點：30+ 座電場使用相同 VPN 帳密，單點突破變全域災難
具體做法：要求系統整合商與維護廠商提交盤點每個站點的帳號與密碼，確認是否存在跨站點憑證重用。在委外合約中明文規定：每個站點使用獨立憑證、維護存取須單次授權且具時間限制。導入特權存取管理（PAM），將整合商的遠端存取從「永久通道」改為「按需開通」。
優先序 3 | OT 設備預設密碼清查與更換
對應失效點：Hitachi RTU、Mikronika RTU、Moxa NPort 均以原廠預設密碼被入侵
具體做法：建立 OT 資產清冊，盤點所有 RTU、IED、序列埠伺服器、HMI及路由器的帳密狀態。仍使用原廠預設密碼的設備立即更換，同時關閉非必要的管理服務（FTP、Telnet、HTTP），僅保留加密通道。將此項清查納入年度例行作業。
優先序 4 | 韌體版本與安全更新狀態確認
對應失效點：攻擊者上傳含 0xFF 無效指令的惡意韌體，RTU 硬體層級癱瘓
具體做法：向設備供應商確認每台設備是否支援韌體簽章驗證。已支援者確認功能已啟用（波蘭事件中 Hitachi 已有此功能但未預設啟用）；未支援者評估替代方案或列入中期汰換規劃。建立韌體版本基線，定期比對是否有異動。
優先序 5 | IT 端點全面部署 EDR
對應失效點：CHP 廠 EDR 透過金絲雀機制成功攔截 Wiper，保護 100+ 台機器
具體做法：在不影響系統運作情況下，盡可能在所有 IT 端點、伺服器與支援 Windows/Linux 作業系統的 HMI 電腦部署 EDR，確認已啟用金絲雀檔案機制與行為偵測功能。EDR 是波蘭事件中唯一成功阻止攻擊者達成破壞目標的防禦機制——它不能替代前四項措施，但在所有前置防線被突破後，它救了 CHP 廠。
優先序 6 | 建立 OT 網路可見度
對應失效點：OT 環境內部完全缺乏動態偵測，攻擊者進行偵察與破壞時無任何警報
具體做法：導入 OT 專屬的被動式網路監控，解析 DNP3、IEC 101、Modbus 等工業控制協定流量，即時偵測異常網路行為。Dragos 報告指出，全球 70% 的 OT 網路缺乏可見度——先建立可見度，才有能力談偵測與回應。
美國聯邦已將資產清冊列為強制要求
CISA BOD 26-02 要求美國聯邦機構在 3 個月內完成所有邊界設備清冊、12 個月內汰換已終止支援設備、24 個月內建立持續發現（Continuous Discovery）機制。雖然此指令僅約束美國聯邦機構，但 CISA 與 FBI 聯合呼籲所有關鍵基礎設施營運者採行同等標準。上述六項行動中的每一項，都與 BOD 26-02 的精神一致——從資產盤點到持續監控，從憑證管理到設備生命週期管理。這不是美國的事，而是全球 OT 安全治理的方向。

預設密碼安全

設備首次啟動必須強制設定新密碼，不得以預設帳密進入操作介面

韌體更新安全

支援韌體數位簽章驗證，且為預設啟用狀態

通訊協定安全

預設僅開啟加密通訊協定（SSH、HTTPS），FTP/Telnet/HTTP 需手動啟用

SBOM 提供

供應商須提供軟體物料清單，包含第三方元件與已知弱點狀態

弱點揭露與回應

供應商須具備弱點通報管道（PSIRT）與承諾安全更新時程

資訊安全證書

優先選擇具備 IEC 62443 評估報告或同等第三方安全檢測證明的產品

當需求端開始要求，供給端才會改變。你不需要等法規強制——用你的採購規格，在你的供應鏈中建立安全基線。

四、結語：防禦的窗口在攻擊發生之前

波蘭事件中，攻擊者在汽電共生廠內潛伏了至少九個月才發動破壞。在再生能源電場中，攻擊者完成偵察、制定破壞計畫、並在同一天觸發所有站點的攻擊。他們有充足的時間準備——而防禦方只有在攻擊發動的那一刻才知道。

但波蘭事件也證明了一件事：CHP 廠的 EDR 在最後一刻發揮了作用，保住了供暖系統。這代表防禦機制在正確部署的情況下是有效的。
問題從來不是「能不能防」，而是「有沒有做」。

DEKRA 德凱集團為全球領先的檢測、認證與合規服務機構。Onward Security（DEKRA德凱集團成員）專注於物聯網與工業控制系統的網路安全檢測與合規服務，提供 OT 環境風險評估、滲透測試、設備安全檢測與合規諮詢，協助關鍵基礎設施營運者建立從資產盤點到持續監控的安全管理體系。

如需 OT 環境安全評估或設備供應鏈安全檢核，歡迎聯繫我們。

聯絡我們

info.tw@dekra.com