CrowdStrike於上週五(7月19日)推送錯誤的配置更新,導致全球大範圍的裝置系統崩潰並出現藍色當機畫面(BSoD)。微軟隔日說明影響範圍,此次事件波及約莫850萬台裝置。全球多間大型銀行、媒體和航空公司等機構都報告稱其IT系統出現大規模崩潰,導致服務中斷。
在香港,不少銀行也是CrowdStrike 的客戶,但因應香港金融管理局的要求,他們都參加了Whole Industry Simulation Exercise (WISE)2023,每間銀行都要為極端情況作出應變安排。儘管這個監管要求曾被不少從業員抱怨嚴苛,但從今天看來卻是一個值得肯定的安排。 希望同業門都抱著底線思維,去應對各種可能發生的極端情況。香港金融管理局不斷更新的各種守則,例如:SPM OR-2,都能夠幫助業界在極端情況下有能力繼續服務香港市民。
委員會亦望趁此機會,鼓勵各從業員,重新審視貴行的網絡安全框架和架構。不要把一籃子雞蛋放在一起,因為無論那個產品有多可靠,都會有機會出現問題。應考慮對所有第三方軟件進行以角色為基礎的存取控制,或者其他風險分散的措施,以做好第三方和供應鏈風險管理。在進行採購時更不應抱著「其他大機構也採用這個方案」的心態,便掉以輕心,而是要多考慮IT 方案供應商的集中風險和復原能力,因為當我們把所有的雞蛋放在一個籃子裡時,即使是輕微的錯誤也可能導致災難性的後果。此外,因應此次事件的特殊性(大多數領先終端安全廠商所採用的方式是每天進行數次類似 「軟件更新」去應對新型攻擊,跟傳統防護軟件的簽名更新不同),傳統上的生產變更流程並不適用,而採用與傳統不同的簽名更新時間去分開不同類型的系統也不適用, 應考慮更多可行的災難應變方案。