156 5 促資訊保安 [本文摘要]:全球約 850 萬台使用微軟 Windows 操作系統的設備突然死 機,微軟雲服務亦癱瘓,導致歐美、亞洲多國和地區的航空、金融、廣播、醫 療保健等行業運作嚴重受阻,零售支付終端服務中斷,事故的根源,在於微軟 採用了網絡安全公司 CrowdStrike 提供的第三方軟件服務,充份暴露了「第 三方風險」問題。基於第三方風險可能源自客戶或合作夥伴,其不可控性,難 以納入企業自身的安全防護體系之中,需要格外警惕。 事故亦同時揭示了在「網絡效應」下,同一標準系統的脆弱性,過度依賴單一 系統所形成的集體性風險隱患。此外,事故損失的「責任分擔」,需要作出 合理分配。通過對基礎服務供應商實施懲罰性措施,以激勵其加強安全把關。 這次微軟系統死機事件,是對全球性的網絡安全作出警示。政府和企業需針對 第三方風險和單一的系統依賴問題,制定更嚴格的網絡安全規管和預防方案。 全球約有 850 萬台使用微軟視窗(Microsoft Windows)操作系統的設備於 2024 年 7 月 19 日突然死機,微軟雲服務也告癱瘓,導致歐美、亞洲多國和地區的航空、金融、 廣播、醫療保健等行業的運作大受打擊;零售支付終端服務亦無法操作,事故所造成的 經濟損失估計超過 10 億美元,市民的日常生活亦大受影響。事故後進行檢討,實在很 有需要。 這起事故並不是網絡攻擊,但波及範圍甚廣,並帶出了兩個網絡保安問題,而這兩個問 題也一直是筆者進行研究的課題。 過度依賴單一系統 恐釀危機 其一,是「第三方風險」,今次事故把第三方風險的嚴重性和脆弱性表露無遺。微軟 視窗作業系統用戶的電腦之所以死機,是因為微軟採用了外判商—網絡安全公司 CrowdStrike 提供的軟件服務,而肇因是 CrowdStrike 軟件進行更新,但更新的部分顯 然存在缺陷,所以當 CrowdStrike 向微軟推送的軟件更新出現問題,有缺陷的軟件也跟 着被嵌進全球數以萬計之微軟用戶的系統中。 系統脆弱藏風險 用戶需防患未然
RkJQdWJsaXNoZXIy NDk5Njg=