資安公司CrowdStrike軟體更新出現錯誤,卻引發全球秩序大亂,凸顯國際經濟脆弱,以及人類過度依賴電腦系統等問題。(美聯社)
美國資安公司CrowdStrike軟體更新出包,導致該公司客戶微軟系統出現錯誤,進而引發全球大當機,造成包括交通、經濟與貿易活動遭受嚴重影響,對此,大多數的人們都可能極為困惑,認為這樣的情況不該在科技發達、資訊傳遞快速的2024年發生,分析人士則認為,這樣的情況凸顯出全球經濟的脆弱性,以及人類對於電腦系統過度依賴的情形,值得人們進行反思。
「有線電視新聞網」(CNN)資安研究員拉尤(Costin Raiu)表示,多數人認為世界末日的出現,將會是因為人工智慧(AI)接管了部分的核子武器系統,並且將電力供應截斷,但事實上「在更新檔案中寥寥數行錯誤的程式碼,更有可能透過互相依賴運作的雲端系統,造成連鎖性的大災難」。
報導指出,雖然軟體更新在現今資安威脅滿布的世界中,是降低資訊設備遭到攻擊的重要例行程序,然而更新本身的程序以及正確性,更是確保系統正常運作的關鍵,19日所發生的事件便是最明顯的例證。
目前列名在全球前500大名單的企業之中,許多都是CrowdStrike網路安全軟體的客戶,利用該公司所提供的服務偵測並阻卻威脅,且全球大多數的電腦使用微軟(Microsoft)公司的視窗(Windows)作業系統運作,因此當CrowdStrike所釋出、與Windows系統具有連動性的更新檔之中,程式碼出現錯誤的時候,隨即引發一系列連鎖效應。
創業迄今超過10年的CrowdStrike,近年來在全球市場不斷擴大事業版圖,且有越來越多國家的政府單位以及企業,都因為安全威脅而更加重視網路防護能力,但專家也指出目前全球防毒軟體仍屬於寡佔市場,僅僅由數家企業壟斷防毒、威脅偵測能力,也對全球資安構成另一種威脅。
前紐約市網路風險控管負責人沃特-卜里(Munish Walther-Puri)就表示,人們往往對於資安軟體賦予極大的信任,但在失去多樣性的情況下,資安架構也會因此受到削弱,資安公司往往「贏了市場卻增加風險」,最後的成本卻要由使用者一起承擔。
此次影響範圍甚廣的事故,使各方都開始思考,未來應如何降低相同情況再度出現的可能性,白宮高階科技暨資安官員紐伯格(Anne Neuberger),在針對此次事件表達看法時就指出了「整合性風險」的概念。她表示人們「必須認真思考數位韌性的議題」,不僅是針對我們所使用的作業系統,而是全球各類互相依賴運作的安全架構。
在2020年時,美國政府就曾經因為SolarWinds旗下管理軟體遭駭而蒙受極大威脅,當時美國官員指控俄國試圖透過該軟體的更新檔進行滲透;雖然當時的入侵行動並未造成嚴重事故,但在2017年另一次非法入侵之中,俄國駭客對全球經濟造成了高達數十億美元的損害。
因此,曾在澳洲外交部擔任資安暨關鍵科技大使的費金(Tobias Feakin)表示,此次CrowdStrike軟體更新事故,凸顯出「一旦對手精心策畫,能夠透過惡意軟體對世界造成的影響有多嚴重」,呼籲各界強化對於此類議題的重視。