微軟雲服務在7/19驚爆因防毒軟體更新而產生大當機,影響層面非常廣泛,除了國內、外多家跨國航空、醫療、旅宿業者等大型服務企業受到波及外、如倫敦證交所等金融業、特斯拉供應鏈,也受到不同程度的影響。親自和班機被取消的無辜旅客,一起塞在美國機場人龍中的KPMG台灣多位資安專家表示,實在沒有想到,讓全球數千架飛機同時無法起飛的原因,居然是一次的雲服務更新失誤。這個被媒體形容成「IT史上最慘」的災難也讓他們的公差回台之路,延遲了二天以上,多轉了好幾次班機,迄今尚未扺台。

KPMG安侯企管公司董事總經理謝昀澤解釋,國際航空公司大量使用雲端服務來處理登機、航機調度、旅客服務等核心作業,一旦雲服務停擺,相關地勤作業都無法進行。這個現象暴露了企業的各種服務上雲的需求驟增,但應變措施尚未與時俱進,也凸顯了雲服務的巨大潛在風險與脆弱性。企業上雲好比過去每家公司都自己蓋房子住(擁有自建的機房與伺服器),現在為了系統的應用效率及成本優化,快速搬入了集合式出租大樓(採用公有雲服務),雖然集合式大樓外觀堅固又豪華,內部服務新潁又多元,但一旦風險發生,災情更慘重,賠償更有可能只有抵減租賃或訂閱費用。

謝昀澤觀察,公有雲已經成為世界經濟運作的關鍵基礎建設,重要程度不亞於油水電等設施。而資訊科技的世界裡,本來就不存在100%的韌性及永續,雖然企業選擇上公有雲,是強化資訊服務韌性的手段之一,如果沒有妥善的架構配合與流程規劃,不但這類「因安全更新而產生的不安全問題」事件會持續發生,未來恐怕有更多的雲端攻擊與資安災難,會讓上雲策略瞬間「由韌性變成嫩性」。

KPMG亞太區政府領域資安主持人邱述琛執行副總經理分析,公有雲服務是一個複雜的生態系,所有的服務堆疊起來才能提供正常服務,目前在全球的公有雲服務運作實務中,不是所有的變更都會事先通知客戶。所以在公有雲的服務配置,做適當的多雲、區域分散與合理的時間差配置,並有其他備援系統與人工作業的應變計劃,應該在規劃時就加以考量。另外,邱述琛也提醒台灣的金融業者,此次的事件也對部分本國金融單位的內部作業與外部服務產生了衝擊,台灣金管會雖已對金融業者用雲端服務有多項規定,包含委外的風險評估及第三方稽核等,除前述要求都應該落實執行外,也建議能參考「金融機構資訊作業韌性規範」要求,從行內核心業務範擴展至雲端服務。

謝昀澤認為,許多的資安事故,都是「意料之外、情理之中」,國內企業上雲偏好由系統整合商直接規劃並完成建置之作法,極容易忽略相關配套措施與營運持續風險。企業要避免成為下一個「雲端跌倒、世界哀嚎」的上雲受災戶,應仿效國際最佳上雲實務,由專業顧問進行事前的架構設計與風險評估,才能將技術的效益發揮到最大,達到提高數位韌性的目標!