勒索病毒肆虐全球 為何學校醫院政府機構是重災區

奚應紅:今日話題

新的一周,「拔網線」成了很多人上班做的第一件事。從上周五開始,一款名叫WannaCry(想哭)的勒索病毒在全球範圍展開攻擊:加密電腦文件,只有在規定的時間內繳納贖金,方能破解。備份成了各類科普文、技術貼的高頻詞彙。實際上,這次勒索病毒危機受影響最嚴重的並不是個人,而是學校、醫院、政府辦事機構,為何這些公共機構會成為病毒重災區?這次勒索病毒有哪些新特點?除了科學備份外,我們還能做些什麼?


誰該為這場席捲全球的網絡安全「核爆」買單?追根溯源的話,罪魁禍首應該是美國國家安全局(NSA)。為什麼這麼說?原因就在於,該機構很早之前就已經掌握了微軟Windows系統的諸多漏洞,但是秘而不宣。後來這些漏洞信息被黑客組織「影子經濟」竊取並公開,於是才有針對Windows系統漏洞的「想哭」病毒。別看這一簡單的泄漏,殺傷力卻十分驚人,用微軟總裁兼首席法務官傑拉德·史密斯的話說,就是「美軍的戰斧巡航導彈被人偷走了」。

美國國家安全局為何會授意黑客組織去破解微軟公司的系統漏洞?說來說去無非就是「國家安全」「網絡戰爭」之類的理由,這也引發公眾激烈討論:政府情報機構到底是該為了所謂國家利益而隱瞞企業軟件的系統漏洞,還是該把這些漏洞與科技公司分享,從而一起維護網絡的信息安全。目前來看,前者佔據上風。但是面對AI、物聯網和雲計算的時代,信息安全威脅不減反增,要做的不是相互提防和攻訐,而是把最聰明的頭腦聚集在一起,加強合作,共同應對「想哭」這樣新升級的勒索病毒。

作為網絡服務提供商,微軟在這次病毒事件中有沒有責任?表面上看是沒有,甚至不少人覺得微軟已經做到仁至義盡,因為早在「影子經濟」公開「系統漏洞」之前,微軟就在今年3月推出針對性的補丁,只要用戶及時安裝補丁,並升級系統,就能躲過這次病毒的襲擊。實際情況呢?

能躲過病毒襲擊的方法基本上分兩種,一種是把系統升級到最新的Windows 10。另外一種是不升級系統,但要安裝相應的補丁。可實際情況是,很多用戶早就關閉了升級系統的通知,並不知道要升級以及如何升級。另外還有很多用戶依然在使用2014年就已經停止更新的Windows XP系統(微軟公司最開始並沒有提供針對這個系統的補丁)。這批用戶有多少呢?根據Avast發布的2017第一季度報告顯示,全球範圍內依舊有6%的用戶在使用Windows XP系統。對於大多數小白用戶來說,他已經習慣了低版本的系統,也缺乏相應的安全意識,不知道如何升級保護自己。作為一個負責任的大公司,微軟理應對這些在網絡洶湧大潮中最容易中招,也最沒有安全感的用戶做的更多(後來事態嚴重,微軟公司才緊急推出針對Windows XP系統的補丁程序)。

據媒體統計,自上周五爆發以來,「想哭」勒索病毒已經席捲了超過150個國家,20多萬台電腦,其中受影響最嚴重的不是個人用戶,而是學校醫院等公共機構。以英國為例,英國國家醫療服務體系(NHS)轄下的48個機構悉數中招。中國最早爆出受到病毒攻擊的是大學校園,然後蔓延到醫院、郵政、火車站、加油站、政府辦事機構。據澎湃新聞報道,5月15日星期一,中國中西部多個省份的交管部門受到勒索病毒影響,山西大部分交管業務暫停。

為何會出現這樣的狀況?原因很簡單,大部分公共機構的電腦設備所使用的系統都比較低級,很多甚至依然在使用Windows XP系統。這讓人感到困惑不解,這些機構並不是不懂安全意識的小白用戶,他們也不可能不知道微軟早在2014年就已經停止更新Windows XP服務,堅持使用XP系統無異於在互聯網世界「裸奔」,難道就是為了滿足自己的情懷嗎?顯然不是,背後其實是有很多現實因素的考量。

首當其衝的就是成本問題。要把所有的設備都升級到最新系統並且定期維護對很多機構來說是一筆不小的開支,所以最好的策略就是用到不能再用,再統一換新。就拿這次受攻擊比較嚴重的英國來說,NHS轄下的醫院一直在使用Windows XP系統,最初還每年向微軟繳交550萬英鎊購買定製服務,後來英國衛生部在2015年正式停止向微軟交付費用,NHS的電腦也就成了「定時炸彈」。可見,並不是英國NHS不想維護系統安全,而是財務方面可能真的拿不出手。因為這次事件,英國保守黨也遭到很多非難。

另外一個原因則是設備上的不兼容。在我國,大規模的國家和行業信息化建設開始於十多年前的XP時代,很多機構的信息系統應用和財務系統應用都是基於Windows XP系統環境下進行開發的。所以升級系統后就會出現難以兼容或者運行不暢的問題,如果要全部重新開發升級,又牽涉到巨大的人力、金錢和時間成本,說到底還是一個「錢」的問題,系統升級和設備遷移也就難以為繼。

此外,還有安全方面的考慮。此前政府機構的採購中心就對Windows 8系統心存顧慮,擔心架構的不穩定可能會對國家安全造成威脅,地方政府也就難有動力去更新系統了。最後還要說到這些公共機構普遍缺乏安全管理意識,雖然他們也都配有相應的網絡安全工程師,但通常都是出事後才想到要維護系統安全,平時根本不知道防患於未然。

總之,沒錢、耗時、複雜、缺乏安全意識,這些因素最後導致公共機構做不到定期升級系統,勒索病毒來襲時,只好束手就擒。

雖然財務上捉襟見肘,但是公共民生機構的系統升級卻非常重要,一來,公共服務體系一旦癱瘓,將影響到整個社會的正常運轉,這並不是聳人聽聞,英國此次遭受重創,很多醫院的急診服務和手術服務都必須延遲或者直接取消。這也不是第一次了,去年11月美國舊金山的地鐵系統就遭受黑客攻擊,造成售票機無法正常工作,直接影響到大家的出行。二來,有些機構還涉及很多個人信息和國家機密,如果受到黑客攻擊,這些信息將可能會被泄露,造成更嚴重的影響。

在談到信息安全的問題時,很多專家都提到建立自主操作系統的重要性,這當然是好事一樁,但是就目前的技術條件來看,能否快速實現,還要打一個問號。主管部門需要加以權衡的問題是:不升級系統可能會遭到木馬襲擊;升級系統有可能面臨信息被竊取的危險。實際上,公共機構可以考慮把系統安全外包給更大的平台,在既有系統的基礎之上,進行更有針對性的安全保障服務。中國鐵路12306網站和支付寶的合作就是一個很好的參考方向,雖然他們的合作還只是支付層面,並未涉及安全系統。當然做好這件事的前提是要有基本的安全意識,另外捨得花錢。

勒索病毒來襲,公共機構卻不堪一擊,這帶來很大的警醒作用,尤其在物聯網發展的時代,茲事體大,不能掉以輕心。■

Be the first to comment

Leave a Reply

Your email address will not be published.