157 5 促資訊保安 顯然,微軟採用 CrowdStrike 提供的第三方服務,是引入了額外的風險。事實上,在 資訊網絡的保安上,系統的相互依賴性,往往為系統帶來額外的安全風險。值得強調的 是,目前大部分企業在系統保安上,通常只聚焦於本身系統的安全性,如安全措施是否 足夠,網絡系統是否存在漏洞等,集中圍繞公司自身業務範疇所提供的服務系統,而忽 略了「從外進內」的第三方服務供應商帶來的潛在風險、威脅和危機。 第三方的風險源頭可能是顧客,甚至往往是其業務或合作夥伴,而這些第三方從外而來的 風險往往防不勝防,無法主動控制,因而不容易將之納入到自身系統的安全計算之中。相 信微軟也沒意料到,CrowdStrike 所作的一次更新,會造成全球性網絡事故,震動世界。 其二,是一個更為重大的安全問題,即當全世界都採用同一標準系統時,所潛藏的風險, 其影響性和破壞性是廣泛和巨大的。以今次事故為例,微軟在全球作為主要或基礎性的作 業系統,一旦這個系統出現問題,影響便無遠弗屆,波及歐美和亞洲多國和地區的機場, 殃及使用同一作業系統的不同行業,包括航空公司、金融機構、醫療保健、零售等企業; 市民日常生活也受到嚴重影響,把過度依賴單一軟件系統的脆弱性表露無遺。 歸根究底使用同一標準系統,無異於把全世界的風險集中到這個系統之上。一旦這個 「風險點」爆破,影響範圍之廣,破壞性之大可以想像。 在今天的科技時代,大家相信電腦系統的能力甚高,很多工作由這個系統有效完成,表面 看,這個系統「很厲害」,但內裏其實有不少脆弱之處,而這種脆弱性包括上述這兩個因 素,即第三方風險,以及由大規模「網絡效應」所形成,採用同一套系統設計與標準的集 體性風險。今次事故正好把這兩個風險因素影響的廣泛性和巨大破壞性,徹底暴露在全世 界的公眾眼前。可以說,這兩個往往為人們忽視的因素,都會把網絡風險大大提高。 因此,無論是機構或政府,要確保基礎建設運作的安全性,必須針對這兩點風險作出相 應的網絡保安部署、反應和規管。事實上,下一輪的網絡安全規管,有必要對這兩項風 險源頭作出有效防治。 備用系統 保證最低服務供應 再看深一層,電腦軟件世界的作業系統有兩類,即「封閉系統」和「開源系統」。「封閉 系統」並不公開透明,如微軟的視窗和蘋果的 iOS 作業系統,大家無法知道軟件裏的構 成,或當中一些特殊的程序;而「開源系統」如 Android 和 Linux,顧名思義,系統的 程式碼是開放的,大家都看到箇中的程序,壞處是也給黑客「一目了然」,相對容易從 其弱點中發起攻擊,但其好處是大家都可以看到其弱點紕漏,從而進行補漏和優化。
RkJQdWJsaXNoZXIy NDk5Njg=