網絡安全﹕雲端服務死機了

文章日期:2019年04月10日

【明報專訊】近年雲端服務愈來愈多人用,而資訊保安的基本原則有3項,分別是機密性、完整性和可用性。不過,在剛剛過去的3月中,我們常用的多個雲端服務(包括facebook、Instagram、WhatsApp、iCloud、Telegram等)接連出現故障,以下探討一下這些雲端服務在可用性方面的風險。

何謂可用性?就是任何提供服務的電腦系統,必須在用戶需要使用時能提供服務。為了提高服務水平,服務提供者會訂立可用性的服務承諾。對於要求高的系統,會設定服務承諾為99.999%(我們簡稱為「5條9」),在這個服務水平下,每年最多只有約5分15秒不能向用戶提供服務。至於較為常見的雲端服務,在服務承諾方面是99.99%,即是每年最多只有約52分34秒不能提供服務。而現時不同服務供應商都有自己可用性服務承諾,讀者可以向個別供應商查詢。

雖然有可用性的服務承諾,但在3月中接連發生在雲端服務的事故,在數字和使用習慣上,明顯不符合用家的預期。當然箇中原因,仍有待相關服務供應商公布,但在我們依賴雲端服務的年代,大家也要做足心理準備會出現可用性的風險。綜合來看,有以下4個情况出現問題:

1、自動升級失敗

現時的雲端服務,為改進功能、提升效能或修補保安漏洞,會不斷為系統升級。在我們的體驗上,由於過程是背後全自動進行,所以我們只會突然發現界面變了及新增了其他功能等的情况出現。但是自動升級也會出現故障,而出現的問題是會令用家在特定情况下,無法使用特定功能。

2、資料損失

我們對雲端服務供應商在資料安全上有多大信心呢?其實使用雲端服務,等於將我們的資料放在他人的電腦上,雖然服務供應商盡量確保不會令客戶的資料有所損失,但是電腦系統所包含的元件實在太多,由硬件至軟件到網絡,當中有部分環節非服務供應商能完全控制。雖然罕見,但也有服務供應商曾經遺失了一部分客戶的資料,而且在調查後也找不出原因。

3、被黑客入侵

黑客會尋找雲端服務供應商的系統漏洞作攻擊,從中找尋有沒有可「賺取」金錢和炫耀實力的機會,而且黑客盜取資料後,更可用於其他非法活動上。有些時候,黑客也會癱瘓雲端服務供應商的服務,然後要求供應商交付贖金,而在癱瘓的過程中,用戶也不能使用服務。

4、停止運作

在3月的事故中,有不少就是出現停止運作的問題,除了影響一般市民,還對商家有很大影響。有不少小商戶是以Instagram作為宣傳和接觸客戶的渠道,也有一些是在facebook下廣告作宣傳,當這些服務停止運作,他們便錯失了做生意的機會。作為用家,有否考慮過當遇上緊急情况,有沒有其他後備方案呢?順帶一提,有些服務供應商也因不同的商業理由,永久停止運作。

基於以上風險,我們使用雲端服務時,也要了解風險承受程度,設定合理期望,想清楚後備方案。在股票界有句名言:「不要把所有雞蛋放在同一籃子上」,在雲端服務上同樣適用。

文:楊和生(香港互聯網協會網絡保安及私隱小組召集人)

明報影片