CrowdStrike引爆「上云危机」 KPMG资安专家转机2天未抵台

▲CrowdStrike发送的问题软体更新导致微软系统崩溃,全球许多航空公司停飞。(图/路透)

记者陈莹欣/台北报导

微软云服务在7/19惊爆因防毒软体更新而产生大当机,影响层面非常广泛,除了国内、外多家跨国航空、医疗、旅宿业者等大型服务企业受到波及外、如伦敦证交所等金融业、特斯拉供应链,也受到不同程度的影响。亲自和班机被取消的无辜旅客,一起塞在美国机场人龙中的KPMG台湾多位资安专家表示,实在没有想到,让全球数千架飞机同时无法起飞的原因,居然是一次的云服务更新失误。这个被媒体形容成「IT史上最惨」的灾难也让他们的公差回台之路,延迟了二天以上,多转了好几次班机,迄今尚未扺台。

KPMG安侯企管公司董事总经理谢昀泽解释,国际航空公司大量使用云端服务来处理登机、航机调度、旅客服务等核心作业,一旦云服务停摆,相关地勤作业都无法进行。这个现象暴露了企业的各种服务上云的需求骤增,但应变措施尚未与时俱进,也凸显了云服务的巨大潜在风险与脆弱性。

谢昀泽指出,企业上云好比过去每家公司都自己盖房子住(拥有自建的机房与伺服器),现在为了系统的应用效率及成本优化,快速搬入了集合式出租大楼(采用公有云服务),虽然集合式大楼外观坚固又豪华,内部服务新颍又多元,但一旦风险发生,灾情更惨重,赔偿更有可能只有抵减租赁或订阅费用。

谢昀泽观察,公有云已经成为世界经济运作的关键基础建设,重要程度不亚于油水电等设施。而资讯科技的世界里,本来就不存在100%的韧性及永续,虽然企业选择上公有云,是强化资讯服务韧性的手段之一,如果没有妥善的架构配合与流程规划,不但这类「因安全更新而产生的不安全问题」事件会持续发生,未来恐怕有更多的云端攻击与资安灾难,会让上云策略瞬间「由韧性变成嫩性」。

KPMG亚太区政府领域资安主持人邱述琛执行副总经理分析,公有云服务是一个复杂的生态系,所有的服务堆叠起来才能提供正常服务,目前在全球的公有云服务运作实务中,不是所有的变更都会事先通知客户。所以在公有云的服务配置,做适当的多云、区域分散与合理的时间差配置,并有其他备援系统与人工作业的应变计划,应该在规划时就加以考量。

另外,邱述琛也提醒台湾的金融业者,此次的事件也对部分本国金融单位的内部作业与外部服务产生了冲击,台湾金管会虽已对金融业者用云端服务有多项规定,包含委外的风险评估及第三方稽核等,除前述要求都应该落实执行外,也建议能参考「金融机构资讯作业韧性规范」要求,从行内核心业务范扩展至云端服务。

谢昀泽认为,许多的资安事故,都是「意料之外、情理之中」,国内企业上云偏好由系统整合商直接规划并完成建置之作法,极容易忽略相关配套措施与营运持续风险。企业要避免成为下一个「云端跌倒、世界哀嚎」的上云受灾户,应仿效国际最佳上云实务,由专业顾问进行事前的架构设计与风险评估,才能将技术的效益发挥到最大,达到提高数位韧性的目标!