158 哪一類系統更好,至今並無定論,然而從今次事故中,一旦不公開透明的封閉作業系統 程序出現問題,用戶便顯得很被動,因而需要有高度防患於未然的意識。 對於網絡保安,用戶自保之道,是保證所採用的系統有一個後備可以運作的系統,供出 現事故緊急應用。在今次事故中,香港機場出現混亂,旅客登記系統無法運作,要用人 手辦理登機手續和告示,情況很不理想,所以,無論大小機構,在防範意外事故上, 像預習走火警那樣,預先作出警示,若有一天電腦系統運作不正常,有一個備用系統 能夠保證最低程度的服務供應;而這個備用系統與當前所採用系統的風險運作相關性 不宜太高,此舉雖然增加了成本,但能夠確保安全。 損失歸責 增供應商把關意識 在 CrowdStrike 事件中,還有一個值得討論的問題。由於 CrowdStrike 在推送更新時, 缺乏了嚴謹而全面的檢查,致微軟視窗用戶死機。為了防止這類「人為疏忽」造成的風 險事故重演,事故損失的「責任分擔」顯然需要有一個合理的分配。 以香港政府對電力公司供電服務的監管,確保電力供應安全可靠為例,若供電發生不穩 定,甚或出現中斷故障,在《管制計劃協議》下,電力公司會受到懲罰,對其准許利潤 作出罰款「賠償」。 借鏡這種監管的「懲罰制度」,在一些基礎設備上,包括電腦系統服務供應商需要對事 故損失作出「責任分擔」,這種歸責的分配可以提供更大誘因,令電腦軟件系統供應 商,甚至其外包供應商,在軟件的設計和更新上,有更嚴謹的安全把關意識和需要。 筆者過去提出和分析「第三方風險」、電腦系統採用同一標準引起的集體性事故風險,以 及對事故「責任分擔」不明確的弊端。在今次 CrowdStrike 事故中,以全球性大規模型 式表露無遺,因而值得各持份方認真對上述的風險和問題,作出應對方案的全面思考。 再者,我們採用的一些看似簡單的作業系統,以為不會出亂子,但微軟視窗死機事故無 疑反映電腦系統的脆弱性,大家需要認真警惕和留意相關風險,制定好預防性防治方案! [後文簡介]—〈妥善管理網絡密碼自保安全〉:臉書沒有加密處理好用戶密碼,致公 司內部上、下員工可輕易搜尋到。隨着網絡活動成為人們日常生活的重要組成部分,個 人對密碼管理不容疏忽。本文指出,網絡保安是需要網絡系統營運商和用戶一起攜手進 行保護;用戶要有參與網絡保安責任的意識,才能有效減少自身承受風險損失的機會。 原刊《香港經濟報》2024 年 8 月 9 日;2025 年 6 月重閱修訂 5 促資訊保安
RkJQdWJsaXNoZXIy NDk5Njg=