資安小公司軟體更新引發全球大當機 暴露科技依賴風險

專家警告，一家名不見經傳的資安公司軟體更新釀成全球災難性電腦當機，再度暴露全球科技依賴少數公司的危險。

法新社報導，資安公司CrowdStrike發送的問題軟體更新導致航空公司、電視台和日常生活其他方面種種陷入停擺。

受到這次當機影響的公司和個人在微軟的Windows作業系統進行軟體更新時，不相容的軟體造成電腦當機，螢幕呈藍色畫面，這種情況被稱為「藍白當機畫面」（Blue Screen of Death）。

韋德布希證券公司（Wedbush Securities）分析師艾夫斯（Dan Ives）說：「CrowdStrike今天成了家喻戶曉的公司，但並非因好事傳千里，恐怕需要一段時間才能平息下來。」

隨著越來越多的活動集中在雲端運算、一些應用程式或平台，這次全球性當機很快地引發網路巨擘在世界日益數位化經濟影響力的諸多討論。

一旦這些平台出現問題或遭蓄意攻擊，世界似乎隨之崩潰。

近月來，整個醫療體系和產業因資訊系統遭駭客入侵而陷入癱瘓，消費者對此束手無策，企業則蒙受損失。

美國消費者金融保護局（CFPB）局長邱普拉（Rohit Chopra）告訴CNBC：「我想我們只是初嚐金融與各行各業對少數雲端運算公司及其他關鍵系統的實際依賴可能導致的某些潛在效應。」

「這麼大部分的經濟僅依賴幾家大型雲端運算公司」。

全球經歷了轉向雲端運算的重大轉變，企業利用大型科技公司提供的伺服器滿足運算需求，而不是打造自身的基礎建設。

亞馬遜旗下的亞馬遜網路服務（AWS）是全球雲端運算服務平台的領先者，緊接在後的是微軟的Azure和Google Cloud。

昨天的大當機災情是專門提供雲端企業網路安全服務的CrowdStrike提供微軟Windows用戶軟體更新出問題所導致。

CrowdStrike執行長庫茲（George Kurtz）接受國家廣播公司（NBC）節目「今日」（Today）訪問時說：「我們對於客戶、旅客以及所有受這起事件影響的人深感歉意。」

微軟把問題歸咎於CrowdStrike，但專家警告，問題源於將整個數位世界託付給少數關鍵公司。

前白宮網路安全協調官，目前擔任非營利組織「網路威脅聯盟」（Cyber Threat Alliance）總裁兼執行長丹尼爾（Michael Daniel）告訴法新社：「這將繼續對完全依賴微軟的系統和企業帶來問題，亦即集中風險的問題。」

「如何平衡每個人都使用同一個作業系統的好處及其帶來的集中風險？」

Critical Start的網路威脅研究資深經理葛溫特（Callie Guenther）警告，轉向大型業者讓任何系統當機或漏洞帶來的衝擊放大。

她說，只要一個失誤，就像19日的CrowdStrike，就會對全球社會的運行平順與否造成衝擊。

資安公司Cyber Upgrade共同創辦人明克維休斯（Andrius Minkevicius）指出，企業不能認為交給大型公司就好。

「現在，我們看到那些依賴廠商提供網路保護而沒有其他應變計畫的案例，他們正蒙受聲譽和財務損害。」

專家指出，這次的事件恐將引來監管機關和官員的放大檢視。

網路威脅聯盟的丹尼爾說：「CrowdStrike恐怕得讓一些外部人士進入內部，檢查事件發生的原因。