CyberIsland

核電廠是許多國家指定的關鍵基礎設施，一但遭損害會對社會跟民心穩造成重大負面影響，過去核電廠在設計與建置時，主要重心在工業控制系統跟實體安全，未充分考量當今高度網路威脅的情境。英國智庫 Chatham House 指出老舊核電廠的三大資安弱點

▋ 技術弱點

• 依賴“模糊安全”。這需要假設資訊和通訊技術 (ICT) 系統的採用規模太小，不存在已知的可利用漏洞。這種方法在擁有定製工業控制系統的老舊核電廠中尤其常見。
• 使用建立在不安全上且需要頻繁修補或更新的軟體。
• 依賴已達到其廠商支援壽命終點且無法再更新的軟體。
• 對人力資源系統等通用管理軟體中資料外洩的風險認識不足；此類外洩可能會暴露人員的敏感資料。

▋ 人員及物理環境弱點

• 內部威脅，例如人員為了獲取經濟利益或報復而竊取或洩漏資訊。
• 對手或犯罪者將發電廠人員作為滲透媒介或受害者。
• 破壞或攔截核電廠、營運商和監管機構之間的通信，可能會破壞電網的可靠性。
• 透過網路行動干擾核電廠的控制，可能造成物理損壞，或在極端情況下導致輻射釋放。

▋ 產業和文化的脆弱性

• 網路安全意識不足。
• 在核能產業的合格資訊安全人員數量不足。
• 大眾普遍認為核能產業“非常重視安全”，因此假設安全層面也已經完整涵蓋網路安全。

核電廠不僅是電力供應的一環，更因為核能安全被視作國家安全的重要基礎設施。由於其一旦遭破壞，可能引發能源中斷、社會恐慌甚至環境災難，所以可能成為多種攻擊者的潛在目標。國家級行為者可能藉此削弱對手戰略與社會穩定、網路犯罪集團需要的是金錢、恐怖組織則利用攻擊製造社會恐慌、心懷不滿或被收買的員工與承包商，可能因報復心理或金錢誘惑，主動協助攻擊者。