全球电脑大当机，你会不会是未来的受害者？

一家资讯安全公司CrowsStrike做错一件“小事”，造成850万部电脑当机。我说“小事”，因为要修复只须删掉CrowdStrike的更新档，并没有更复杂的破坏。媒体大多聚焦于机场大乱，美国的天空突然空了，全球取消了5千次航班，KLIA也受影响。大家都经历过班机延误的噩梦，这样取角比较耸动，但其实这事件的影响不仅于此。

说说另一件事，2011年资安公司RSA突然发现关键的SecurID伺服器有异动。RSA大家或许不熟悉，它的创始人发明了RSA演算法，为加密技术带来巨大突破，如今我们才可用互联网处理机密事项，比如银行交易。SecurID是RSA的双因素认证产品，就像你在做网路交易时接收的SMS六位数密码，不过SecurID不用简讯，那不安全，密码显示在特殊装置上。

要产生这些不断变化的密码，需先有“种子”，像钥匙，编排给每个顾客的种子都不一样，全都存在SecurID伺服器。只要骇客取得这些种子，就可能冒充用户登入全球几百万个RSA客户的系统，其中包括美国政府。RSA确认种子被盗后展开了几个月的补救行动，天天向客户道歉，更新几百万个装置。后来发生美国军事承包商系统遭骇客入侵，当时RSA以为也是因种子泄漏所致。根据RSA调查，骇客受雇于中国人民解放军；不过强国之间的角力乃平常事，美国肯定也在暗中做一样的事。这样的骇客攻击，叫“供应链攻击”，只要攻破上游的资安供应商，下游用户则不攻自破。

今天的当机灾难和RSA看似无关，这甚至不算资讯安全事件，充其量只算品管失误，微软让供应商推送了含有错误的更新。这两个事件的共通处是：千万个人同时倚赖一家公司提供某种关键服务，而且没有替代方案，危机四伏。当机除了造成机场混乱，对医疗服务的影响更大，生死关头医生调不出病历，会出人命的。有人倡议政府立法规定关键系统不能只依赖单一供应商，但谈何容易？这么做不只加重成本，还使系统更复杂，更难维护。

我等小民能如何自保？能做的非常有限。我自问个人资安几乎做到滴水不漏了，但倘若我依赖的密码管理系统出纰漏，或哪个向来信任的软体公司推送了病毒给我，面对这样的供应链疏漏我将一筹莫展。在我能力范围内能做的，只有尽量离线备份，定期把云端的照片和文件都抄到家里的硬碟。就算谷歌垮掉、微软当机，至少资料在手，我可暂时使用替代平台。我建议你也尽早审查一下自己的“供应链”，向来依赖哪几家科技公司，尽可能准备好紧急替代方案，别以为大公司就固若金汤，墨菲定律才是真理：凡可能出错的，都必会出错。

2024.07刊于中国报

喜欢吗？请帮忙分享！