[ 信報論壇 ]「披露易」DDoS 事件引發的監管和技術質疑

八月十一日的中午前開始,港交所的「披露易」網站遭到黑客攻擊而癱瘓,港交所「果斷」地決定把七隻股票整個下午停牌,包括匯豐、國泰和港交所自己三大藍籌,和一隻可換股債券;結果,影響四百多隻衍生工具如窩輪給牛熊證,令一眾「坐貨」的股民「被坐艇」,以致翌日一開市,有關輪證價值已經蒸發了二千萬元。

「披露易」事件,引發出多個關於港交所以至香港政府的危機及風險管理的問題,當中亦涉及技術和監管決定的問題。港交所在十一時許發現被入侵,在午市休息時段已決定把相關股票停牌,理由是保障資訊公平,方作出這「痛苦決定」,但卻仍有證券商能在下午開市初段成功交易,這又是否哪裡出了錯?

單向思維不利應變

對於停牌的決定,證券業界和股民多數表示不滿。當然,在任何危機關頭,作出即時決定不是容易的事,港交所對「披露易」被入侵事件,的確有高層即時處理,沒有人能說他們沒有盡力,但事件的處理若有未盡人意,政府和監管機構都有檢討的責任。

首先,停牌是否就是能保障資訊公平?監管機構保障資訊公平,目的是交易能在公平環境下進行,結果才是最重要,如果僵化地處理資訊公平,結果明顯地令部分股民無法交易,但眾所周知,大戶卻能繼續在這些股份停牌下對沖,這結果又是否公平?

更令人關注的,是港交所為何達致這樣的決定?筆者曾經向財經市場人士查詢,他們都未能想出本地或海外市場的裡似決定;黑客入侵交易系統並非首次,停牌更常有,但因為這樣的事故而停牌就想不出先例了;加上,停牌決定是根據什麼程序作出,除了知道港交所管理層曾經知會證監會外,全不透明。

因此,令人懷疑的是,港交所作出此決定,是否由於一種「直線」的單向思維,即「if A then B」,卻沒有足夠考慮在不同情況下的「A」和「B」,都可能有不同的前因後果。甚至,身兼監管責任的官員,會否在這單向思維的習慣下,只顧保護自己一方避免付上責任,而採取最「安全」、依書直解,但未必是最佳的應急決定?

政府要正視,不是淡化

筆者無意以現有的有限資料過分指責港交所的做法,但香港政府的確有責任調查清楚,至少也要令港交所、證監會和政府本身,都在這次事件中學習一課,並適當地向公眾作出交待。

然而,在事發翌日早上,財政司司長對傳媒發言時稱,黑客入侵交易所系統並非香港獨有,在世界各地時有發生;當時,筆者正在一家收費電視台的時事節目直播中,聽到此話,主持人和嘉賓包括立法會議員涂謹申和前政府高官何永謙及筆者,舉座嘩然!在場所有人都覺得,財爺在不當的時間,不當的情形下,作了不當的評論。

財爺說的,在客觀事實上沒有錯,筆者也有說過類似的觀察,然而,財爺他口中說出來就難免令人有護短的感覺。有些說話,身分不同就不應說了,財爺一番話只令人覺得有意淡化事件,因為公眾對他的期望,以及他的責任,是正視事件,公平地調查真相,然而,在事發不足一天便出來這樣說話,犯了公關大忌。

不過,若然這並非個別「公關」錯誤,而是反映香港政府官員一種對危機的自然反應,就是出來告訴市民可以放心,沒有問題,「大事化小」,而相反卻把另一些問題(例如外傭留港事件)政治性地「小事化大」,這樣實非香港之福,亦解釋了為何香港政府的管治水平淪落至此。

應對措施,過於simple、naive?

除了以上關於監管決定的問題,尚待調查和澄清外,「披露易」當然亦令人關注港交所的技術及保安能力,能否抵禦幾乎無可避免的黑客挑戰。

事發當天,很多人即時會問,為什麼港交所「披露易」沒有後備系統?當然,這個疑團在港交所宣布事件是因為被黑客入侵所致後,答案就很清楚:後備系統在此情況下也基本上沒有幫助,因為後備系統必定與原本系統是一樣的,能攻破原本系統的,也必能同樣擊破相同的後備系統。所以,我們不應批評港交所沒有後備系統。

不過,港交所在事發後翌日宣布的資料及對應措施,卻令人對其應變準備有點擔心。根據港交所的資料,他們的系統是遭到「數以百計」的「喪屍電腦」,從多個國家以「分散式阻截服務攻擊」(DDoS,Distributed Denial of Service)指向「披露易」,令其系統癱瘓。雖然港交所承認之前也曾遭受黑客攻擊,但他們卻在這次事發後才「按警方建議及時加裝過濾裝置」(這是其「即時措施」之一),另外增加網絡供應商提供的頻寬(這是其「長期措施」之一),才減低企圖入侵者的影響。如果以港交所這樣的香港重要設施都只能做到這些,就真的令人膽戰心驚了!

面對DDoS,並非束手無策

首先,今時今日,「數以百計」的「喪屍電腦」,其實已經不算是大規模的進攻,我們還不要與港交所「斤斤計較」,就當他們在數字上在現時階段說得比較保守,將來可以修正,但港交所竟然要警方指教他們怎樣做網絡保安防禦,不是筆者質疑警方能力,是港交所怎能後知後覺至此,在事前竟然沒有足夠的面對這最常見的DDoS的過濾系統?

但港交所的首席資訊科技總監卻指出,這次的DDoS攻擊技巧遠較過往變化多端,「以極高頻率發出大量攻擊信息」,他們的專家也需要較多時間分析大量攻擊信息,才能引入適當的過濾機制。這說法其實較為合理,但卻與官方宣布不盡相同,易令公眾產生混亂,反映港交所的公關處理和訊息披露,未盡人意。

另外,事發後不少評論都指DDoS攻擊難以防範,也很難追查發動者身分,但這說法也非必然。其實,技術上有較高機會被攻擊的網站和系統,可以安裝「入侵偵測系統」(IDS,intrusion detection system),協助採集入侵者的來源和資料,實行網絡「CSI」,過去亦有案例,讓執法部門成功追查到黑客來源。

例如,去年十二月初美國網上支付商Paypal取消「維基解密」(Wikileaks)的捐款戶口,因而被企圖報復的黑客攻擊,Paypal的IDS系統發現了一千多個IP地址,並將之轉交聯邦研究局(FBI),結果,FBI在調查後發出了四十多個搜查令,在上月向十四人提出了檢控。我們未能肯定港交所有沒有像Paypal般的自我防禦措施,但無論以前如何,希望他們未來都會有更足夠的準備。

加強披露,挽回信心

未來港交所的改善措施,不能只包括現在已宣布的分散「披露易」的資料發放、裝置過濾裝置和增加頻寬這些十分基本的措施。我們應該問的問題,包括港交所有否全盤的災難復原計劃,計劃有否改善的空間?當然,因為風險原因,這些敏感的應變計劃資料未必應該完全公開於世,但適當程度的披露,就和「披露易」本身的原意一樣,有助公眾的知情和建立信心。

事件也令公眾、資訊科技界及尤其資訊保安專業人士關注到,港交所對資訊保安的重視和投放資源的水平,是否足夠。港交所是香港在投資資訊科技方面最大的本地機構和企業之一,但他們的投資中有多少是直接投放在資訊保安?港交所和香港政府若能正視這次的網絡安全事件,將對香港企業甚至政府本身未來對網絡安全的重視,有長遠和重要的正面影響。「披露易」被攻擊而引起廣泛社會關注,正是當局帶頭重視網絡保安的好機會,淡化事件肯定是最錯誤的做法。

最後,傳媒報導,港交所在事件後快速聘請了來自以色列的網絡保安專家,遠道來港協助處理。筆者不能不問,難道香港沒有人能?小小的香港,已經擁有全亞洲第二最多的已考取「資訊系統保安專業認證」(CISSP)的人數,也擁有全球最具規模之一的網絡安全管理企業。我們不要排外,但絕不應排內。

原文:[ 信報論壇 ]「披露易」DDoS 事件引發的監管和技術質疑

Comments are closed.