刊於《經濟日報》,2024年8月10日
第三方風險致命 標準化集體應用需防
許佳龍
科大商學院署理院長;資訊、商業統計及營運學系講座教授;
艾禮文家族商學教授
全球約有850萬台使用微軟視窗(Microsoft Windows)操作系統的設備於7月 19日突然死機,微軟雲服務也告癱瘓,導致歐美、亞洲多國和地區的航空、金融、廣播、醫療保健等行業的運作大受打擊;零售支付終端服務亦無法操作,事故經濟損失估計超過 10億美元,市民的日常生活亦大受影響。事故後進行檢討,實在很有需要。
這起事故並不是網絡攻擊,但波及範圍甚廣,並帶出了兩個網絡保安問題,而這兩個問題也一直是筆者進行研究的課題。
其一,是「第三方風險 」。今次事故把第三方風險的嚴重性和脆弱性表露無遺。微軟視窗作業系統用戶的電腦之所以死機,是因為微軟採用了一家外判商的一些服務——網絡安全公司CrowdStrike提供的軟件服務,而肇因為CrowdStrike軟件進行更新,但更新的部分顯然存在缺陷,所以當CrowdStrike向微軟推送的軟件更新出現問題,有缺陷的軟件也跟着被嵌進全球數以萬計微軟用戶的系統中。
第三方風險須高度警惕
很顯然,微軟採用CrowdStrike提供的第三方服務,是引入了額外的風險。事實上,在資訊網絡保安上,系統的相互依賴性,往往為系統本身帶來額外的的安全風險。值得強調的是,目前大部分企業在系統保安上,通常只聚焦於本身系統的安全性,如安全措施是否足夠,網絡系統是否存在漏洞,集中圍繞公司自身業務範疇所提供的服務系統,而忽略了「從外進內」的第三方服務供應商帶來的潛在風險威脅和危機。第三方的風險源頭可能是顧客,甚至往往是其業務或合作伙伴,而這些第三方從外而來的風險往往防不勝防,無法主動控制,因而不容易將之納入到自身系統的安全計算之中,相信微軟也沒意料到,CrowdStrike所作的一次更新,會造成全球性網絡事故,震動世界。
同一標準應用藏集體性風險
其二,是一個更為重大的安全問題,即當電腦系統世界都採用同一標準系統時,所潛藏的風險,其影響性和破壞性是廣泛和巨大的。以今次事故為例,微軟在全球作為主要或基礎性的作業系統,一旦這個系統出現問題,影響便無遠弗屆,波及歐美和亞洲多國和地區的機場,殃及使用同一作業系統的不同行業,包括航空公司、金融機構、醫療保健、零售等企業;市民日常生活也受到嚴重影響,把過度依頼單一軟件系統的脆弱性表露無遺。歸根究柢,使用同一標準系統,無異於把全世界的風險集中到這個系統之上。一旦這個「風險點」爆破,影響範圍之廣,破壞性之大可以想像。
在今天的科技時代,大家相信電腦系統的能力甚高,很多工作由這個系統有效完成,表面看,這個系統「很厲害」,但內裡其實有不少脆弱之處,而這種脆弱性包括上述這兩個因素,即第三方風險,以及由大規模「網絡效應 」所形成採用同一套系統設計與標準的集體性風險,今次事故正好把這兩個風險因素影響的廣泛性和巨大破壞性,徹底暴露在全世界公眾眼前。可以說,這兩個往住為人忽視的因素都會把網絡風險大大 提高。因此,無論是機構或政府要確保基礎建設運作的安全性,必須針對這兩點風險作出相應的網絡保安部署、反應和規管。事實上,下一輪的網絡安全規管,有必要對這兩項風險源頭作出有效防治。
備用系統不宜缺
再看深一層,電腦軟件世界的作業系統有兩類,即「封閉系統」和 「開源系統」。「封閉系統」並不公開透明,如微軟的視窗和蘋果的 IOS作業系統,大家無法知道軟件裡的構成,或當中一些特殊的程序;而「開源系統」如Android和Linux,顧名思義,系統的程式碼是開放的,大家都看到箇中的程序,壞處是也給黑客 「一目了然」,相對容易從其弱點中發起攻擊,但其好處是大家都可以看到其弱點紕漏,從而進行補漏和優化,那一類系統更好,至今並無定論,然而,從今次事故中,一旦不公開透明的封閉作業系統程序出現問題,用戶便顯得很被動,因而需要有高度防患於未然的意識。
對於網絡保安,用戶自保之道,是保証所採用的系統有一個後備可以運作系統,供出現事故緊急應用。在今次事故中,香港的機場出現混亂,旅客登記系統無法運作,要用人手辦理登機手續和告示,情況很不理想,所以,無論大小機構,在防範意外事故上,像預習走火警那樣,預先作出警示,若有一天電腦系統運作不正常,有一個備用系統能夠保証最低程度的服務供應,而這個備用系統同當前所採用系統的風險運作相關性不宜高,此舉雖然增加了成本,但能夠確保安全。
損失歸責合理分配
在CrowdStrike事件中,還有一個值得討論的問題。由於CrowdStrike在推送更新缺乏了嚴謹而全面的檢查,導令微軟視窗用戶死機。為了防止這類「人為疏忽」造成的風險事故重演,事故損失的「責任分擔」顯然需要有一個合理的分配。以香港政府對電力公司供電服務監管,以確保電力供應安全可靠為例,若供電發生不穩定,甚或出現供應中斷故障,在《管制計劃協議》下,電力公司會受到懲罰,對其准許利潤作出罰款「賠償」。
借鏡這種監管的 「懲罰制度」,在一些基礎設備上,包括電腦系統服務供應商需要對事故損失作出「責任分擔」,這種歸責的分配可以提供更大誘因,令電腦軟件系統供應商,甚至其外包供應商,在軟件的設計和更新上,有更嚴謹的安全把關意識和需要。
筆者過去提出和分析「第三方風險」、電腦系統採用同一標準引起的集體性事故風險,以及對事故「責任分擔」不明確的弊端,在今次CrowdStrike事故中,以全球性大規模形式表露無遺,因而值得各持份方認真對這三方面的風險和問題,作出應對方案的全面思考。再者,我們採用的一些看似簡單的作業系統,以為不會出亂子,但微軟視窗死機事故無疑反映電腦系統的脆弱性,大家需要認真警惕和留意相關風險,制訂好預防性防治方案!