25. 針對此類涉及 OT 的勒索軟體事件處理優先序，下列描述何者較為適切？
(A) 由於勒索軟體通常只影響特定檔案，且 OT 系統穩定 性優先，應優先進行系統備份，然後等待 OT 維運團隊排程處理，避免額外干擾
(B) 勒索軟體屬一般惡意軟體，主要任務是收集鑑識證據以追溯攻擊者，OT 系統的影響可稍後評估
(C) 此類事件優先序極高，可能對實體安全和關鍵業務營運造成嚴重中斷，需立即啟動遏制與恢復措施，並與 OT 擁有者密切合作
(D) 優先順序取決於是否支付贖金，若已決定支付則回應優先順序可降低，以便與攻擊者協商

題幹重點

• 關鍵基礎設施 (Critical Infrastructure)

• OT 系統 (Operational Technology)

• 勒索軟體攻擊 → 生產控制停擺威脅

• 問題在於：事件回應 (Incident Response) 中，處理優先序應該如何？

選項逐一分析

(A) 只做備份，等待 OT 維運排程處理
❌ 不適切。勒索軟體不是小問題，OT 系統被影響會立刻危及安全與營運，不可能「等排程」。

(B) 當成一般惡意軟體，只做鑑識追溯，OT 稍後再處理
❌ 錯誤。勒索軟體在 OT 環境中是高度嚴重事件，會立刻造成營運中斷或人員安全風險，不能「稍後再評估」。

(C) 事件優先序極高，立即啟動遏制與恢復，並與 OT 擁有者合作
✅ 正確。這是最佳實務，因為 OT 事件牽涉到 生產、公共安全、營運持續，必須馬上行動，並與 OT 團隊密切協作。

(D) 是否支付贖金決定優先順序
❌ 不適切。是否支付贖金屬於策略層面的討論，但 事件回應 還是要立即處理，不能因此降低優先序。

✅ 正確答案：(C)

? 考試小技巧：
凡是提到 OT + 勒索軟體/關鍵基礎設施 → 關鍵字就是：
「優先序極高 → 即刻遏制、恢復、跨團隊合作」。