全球大當機暴露科技依賴風險 美網安局長批CrowdStrike更新缺陷
(紐約21日綜合電)美國政府網絡安全高級官員嚴厲批評“眾擊”(CrowdStrike)公司進行有缺陷的更新,導致全球企業和政府系統宕機,犯下嚴重錯誤。
由於網安公司“眾擊”軟件更新有缺陷,導致微軟“視窗”(Windows)操作系統受到影響,週五(19日)全球企業和機場網絡系統一度陷入大宕機。
彭博社報道,美國網絡安全和基礎設施安全局局長伊斯特利昨天在社媒發文說,這是一場重大事故,對全球關鍵基礎設施運營產生嚴重影響,雖然“眾擊”並非出於惡意,但是仍是個嚴重的錯誤,“眾擊”首席執行官科爾茨理應負責和道歉。
她明確指出,這次事故問題不在微軟,但任何從事軟件開發的公司,都應該優先設計、測試再交付軟件,以大幅減少缺陷數量。
這次的更新事故影響全球850萬台依賴微軟Windows操作系統的設備。微軟公司週六說,這些設備僅佔所有使用“視窗”設備的不到1%。專家警告,一家名不見經傳的資安公司軟體更新釀成全球災難性電腦當機,再度暴露全球科技依賴少數公司的危險。
法新社報道,受到這次當機影響的公司和個人在“視窗”作業系統進行軟體更新時,不相容的軟體造成電腦當機,螢幕呈藍色畫面,這種情況被稱為“藍白當機畫面”(Blue Screen of Death)。
韋德布希證券公司分析師艾夫斯說:“‘眾擊’成了家喻戶曉的公司,不因好事傳千里,恐怕需要一段時間才能平息下來。”
隨著越來越多的活動集中在雲端運算、一些應用程式或平台,這次全球性當機很快地引發網路巨擘在世界日益數位化經濟影響力的諸多討論。
一旦這些平台出現問題或遭蓄意攻擊,世界似乎隨之崩潰。
近月來,整個醫療體系和產業因資訊系統遭駭客入侵而陷入癱瘓,消費者束手無策,企業則蒙受損失。
美國消費者金融保護局(CFPB)局長卓普拉說:“我想,我們只是初嘗金融與各行各業對少數雲端運算公司及其他關鍵系統的實際依賴可能導致的某些潛在效應。這麼大部分的經濟僅依賴幾家大型雲端運算公司。”
全球經歷了轉向雲端運算的重大轉變,企業利用大型科技公司提供的伺服器滿足運算需求,而不是打造自身的基礎建設。
亞馬遜旗下的亞馬遜網路服務(AWS)是全球雲端運算服務平臺的領先者,緊接在後的是微軟的Azure和Google Cloud。
大當機災情是專門提供雲端企業網路安全服務的“眾擊”提供微軟“視窗”用戶軟體更新出問題所導致。
“眾擊”執行首席執行官庫爾茨接受國家廣播公司(NBC)節目“今日”(Today)訪問時說:“我們對於客戶、旅客以及所有受這起事件影響的人深感歉意。”
微軟把問題歸咎於“眾擊”,然而專家警告,問題源於將整個數位世界託付給少數關鍵公司。
前白宮網路安全協調官,目前擔任非營利組織“網路威脅聯盟”總裁兼執行長丹尼爾告訴法新社:“這將繼續對完全依賴微軟的系統和企業帶來問題,亦即集中風險的問題。如何平衡每個人都使用同一個作業系統的好處及其帶來的集中風險?”
Critical Start的網路威脅研究資深經理凱麗岡特警告,轉向大型業者讓任何系統當機或漏洞帶來的衝擊放大。
她說,只要一個失誤,就像“眾擊”,就會對全球社會的運行平順與否造成衝擊。
資安公司Cyber Upgrade共同創辦人明克維休斯指出,企業不能認為交給大型公司就好。
“現在,我們看到那些依賴廠商提供網路保護而沒有其他應變計劃的案例,他們在蒙受聲譽和財務損害。”
專家指出,這次的事件恐將引來監管機關和官員的放大檢視。
網路威脅聯盟的丹尼爾說:“‘眾擊’恐怕得讓一些外部人士進入內部,檢查事件發生的原因。”
