你的 OT 場域，擋得住嗎？

2025 年 12 月 29 日，波蘭超過 30 座再生能源電場的變電站控制設備在數小時內同時遭到癱瘓。攻擊者的手段並非利用未知漏洞——他們用的是預設密碼、共用的 VPN 帳號、以及設備上預設開啟的不安全的網路管理協定。同一天，一座為近 50 萬用戶供暖的汽電共生廠也遭到滲透，Wiper 惡意軟體被大規模部署，意圖覆寫廠區內所有機器的資料。

最後的結果是：30 多座電場的控制設備實質報廢，但發電未中斷；汽電共生廠的 EDR 系統在最後一刻攔截了攻擊，供暖未受影響。

這個「沒出大事」的結果容易讓人放下警戒。但如果你管理的場域——儲能場站、工廠產線、能源設施——使用著同類型的設備，部署著類似的網路架構，委託著相同模式的維護合約，那麼波蘭事件提供的不是「別人的故事」，而是一份精確的風險評估參考。

這不只是我們的判斷。2026 年 2 月 10 日，美國 CISA 與能源部（DOE CESER）聯合發布專項警示，直接引用 CERT Polska 的報告，將這場事件定性為「凸顯 OT 與 ICS 安全缺口」的重大事件。CISA 在警示中總結三項關鍵教訓：邊界設備弱點是首要攻擊入口、缺乏韌體驗證的 OT 設備會遭受永久性損壞、預設密碼問題不限於特定廠商。同時，CISA 引用其五天前發布的 BOD 26-02 行政指令，要求美國聯邦機構全面清查並汰換已終止支援的邊界設備，並呼籲所有關鍵基礎設施營運者採取同等措施。

一、攻擊為什麼能同時打穿 30 座電場：問題出在你的供應鏈管理

多數資安事後分析會聚焦在「攻擊者用了什麼工具」。但對 OT 資產擁有者而言，更重要的問題是：「為什麼一次入侵就能擴散到我的所有站點？」答案不在攻擊端，而在你的供應鏈管理。
 

憑證重用：你的系統整合商就是你最大的攻擊面

波蘭事件中，攻擊者取得一組 VPN 登入帳密後，發現可以用同一組帳密登入 30 多座地理分散的電場。原因很簡單：系統整合商為了降低維護成本，在所有站點使用了相同的管理員帳號與密碼。

這不是波蘭獨有的問題。多數 OT 環境中，系統整合商使用共用 VPN 帳號進行跨站點維護。維護合約通常以固定費率計價，整合商沒有經濟誘因去為每個站點建立獨立的管理。結果就是：你以為每個站點都有獨立的安全邊界，實際上它們在邏輯上是同一個目標。
 

預設密碼：你的設備上線那天，攻擊者就已經知道密碼了

波蘭事件中，Hitachi RTU560 使用原廠預設帳號「Default」登入、Mikronika RTU 用 SSH 預設密碼取得 root 權限、Moxa NPort 的管理介面可直接存取——這些設備在部署後從未更改預設密碼。

對 OT 環境管理者而言，這反映了一個產業結構性問題：設備部署通常由整合商負責，營運商未必清楚每台設備的帳密狀態。而部署完成後的「安全交接」（Security Handover）——確認所有預設密碼已變更、非必要服務已關閉、存取權限已適當配置——在實務中經常被省略或僅做形式檢查。
 

「功能正常」不等於「安全」：IT 與 OT 防禦有效性的殘酷對比

波蘭事件中最有價值的一組數據是 IT 與 OT 環境的防禦對比：
 

	CHP 廠 IT 環境	再生能源廠 OT 環境
攻擊者行為	透過 GPO 大規模分發 DynoWiper 惡意軟體	上傳惡意韌體、透過SSH服務登入執行刪除檔案系統指令、透過FTP服務刪除關鍵檔案
防禦機制	EDR 系統透過金絲雀機制偵測到異常檔案修改，即時攔截	無任何動態偵測機制
結果	100+ 台機器的資料受到保護，供暖未中斷	大量控制設備硬體報廢，站點與 DSO 通訊中斷
啟示	EDR + 行為偵測在最後一道防線上有效	OT 設備一旦被突破，內部防禦幾乎為零

這個對比的啟示不是「OT 環境無法防禦」，而是：OT 環境需要不同於 IT 的防禦策略——從設備採購規格、網路架構設計到監控工具選擇，都必須針對 OT 的特性重新思考。

 

二、優先行動清單：依據攻擊鏈排序，從最高槓桿率開始

以下行動項目依據波蘭事件的因果鏈排序——從阻斷初始入侵到限制損害範圍。每一項對應事件中的具體失效點，讓你能直接評估自身場域的缺口。  

三、向你的供應商提出要求：用採購規格驅動產品安全

波蘭事件的因果鏈起點不在攻擊者，而在採購決策：當設備採購規格中沒有安全要求時，供應商沒有動力在產品中實踐安全設計。作為 OT 資產擁有者，你的採購規格就是推動供應鏈安全升級的最有效槓桿。

建議在設備採購規格與驗收標準中加入以下要求：