查看原文
其他

勒索病毒肆虐全球,为何学校医院政府机构是重灾区?| 今日话题

2017-05-16 奚应红 今日话题


第3893期


语 新的一周,“拔网线”成了很多人上班做的第一件事。从上周五开始,一款名叫WannaCry(想哭)的勒索病毒在全球范围展开攻击:加密电脑文件,只有在规定的时间内缴纳赎金,方能破解。备份成了各类科普文、技术贴的高频词汇。实际上,这次勒索病毒危机受影响最严重的并不是个人,而是学校、医院、政府办事机构,为何这些公共机构会成为病毒重灾区?这次勒索病毒有哪些新特点?除了科学备份外,我们还能做些什么?



从勒索病毒的产生和传播来看,美国国家安全局要背最大“锅”


谁该为这场席卷全球的网络安全“核爆”买单?追根溯源的话,罪魁祸首应该是美国国家安全局(NSA)。为什么这么说?原因就在于,该机构很早之前就已经掌握了微软Windows系统的诸多漏洞,但是秘而不宣。后来这些漏洞信息被黑客组织“影子经济”窃取并公开,于是才有针对Windows系统漏洞的“想哭”病毒。别看这一简单的泄漏,杀伤力却十分惊人,用微软总裁兼首席法务官杰拉德·史密斯的话说,就是“美军的战斧巡航导弹被人偷走了”。


微软公司总裁兼首席法务官布拉德·史密斯“责难”美国国家安全局


美国国家安全局为何会授意黑客组织去破解微软公司的系统漏洞?说来说去无非就是“国家安全”“网络战争”之类的理由,这也引发公众激烈讨论:政府情报机构到底是该为了所谓国家利益而隐瞒企业软件的系统漏洞,还是该把这些漏洞与科技公司分享,从而一起维护网络的信息安全。目前来看,前者占据上风。但是面对AI、物联网和云计算的时代,信息安全威胁不减反增,要做的不是相互提防和攻讦,而是把最聪明的头脑聚集在一起,加强合作,共同应对“想哭”这样新升级的勒索病毒。


此外,对很多系统未升级的用户来说,微软公司也应承担一定责任


作为网络服务提供商,微软在这次病毒事件中有没有责任?表面上看是没有,甚至不少人觉得微软已经做到仁至义尽,因为早在“影子经济”公开“系统漏洞”之前,微软就在今年3月推出针对性的补丁,只要用户及时安装补丁,并升级系统,就能躲过这次病毒的袭击。实际情况呢?


能躲过病毒袭击的方法基本上分两种,一种是把系统升级到最新的Windows 10。另外一种是不升级系统,但要安装相应的补丁。可实际情况是,很多用户早就关闭了升级系统的通知,并不知道要升级以及如何升级。另外还有很多用户依然在使用2014年就已经停止更新的Windows XP系统(微软公司最开始并没有提供针对这个系统的补丁)。这批用户有多少呢?根据Avast发布的2017第一季度报告显示,全球范围内依旧有6%的用户在使用Windows XP系统。对于大多数小白用户来说,他已经习惯了低版本的系统,也缺乏相应的安全意识,不知道如何升级保护自己。作为一个负责任的大公司,微软理应对这些在网络汹涌大潮中最容易中招,也最没有安全感的用户做的更多(后来事态严重,微软公司才紧急推出针对Windows XP系统的补丁程序)。


很多用户依然在使用Windows XP系统,也更容易遭受病毒攻击


实际上,相比个人用户,学校医院等公共机构才是此次“病毒危机”的重灾区


据媒体统计,自上周五爆发以来,“想哭”勒索病毒已经席卷了超过150个国家,20多万台电脑,其中受影响最严重的不是个人用户,而是学校医院等公共机构。以英国为例,英国国家医疗服务体系(NHS)辖下的48个机构悉数中招。中国最早爆出受到病毒攻击的是大学校园,然后蔓延到医院、邮政、火车站、加油站、政府办事机构。据澎湃新闻报道,5月15日星期一,中国中西部多个省份的交管部门受到勒索病毒影响,山西大部分交管业务暂停。


为何会出现这样的状况?原因很简单,大部分公共机构的电脑设备所使用的系统都比较低级,很多甚至依然在使用Windows XP系统。这让人感到困惑不解,这些机构并不是不懂安全意识的小白用户,他们也不可能不知道微软早在2014年就已经停止更新Windows XP服务,坚持使用XP系统无异于在互联网世界“裸奔”,难道就是为了满足自己的情怀吗?显然不是,背后其实是有很多现实因素的考量。


首当其冲的就是成本问题。要把所有的设备都升级到最新系统并且定期维护对很多机构来说是一笔不小的开支,所以最好的策略就是用到不能再用,再统一换新。就拿这次受攻击比较严重的英国来说,NHS辖下的医院一直在使用Windows XP系统,最初还每年向微软缴交550万英镑购买定制服务,后来英国卫生部在2015年正式停止向微软交付费用,NHS的电脑也就成了“定时炸弹”。可见,并不是英国NHS不想维护系统安全,而是财务方面可能真的拿不出手。因为这次事件,英国保守党也遭到很多非难。


英国NHS遭受攻击严重,源自它落后未升级的系统


另外一个原因则是设备上的不兼容。在我国,大规模的国家和行业信息化建设开始于十多年前的XP时代,很多机构的信息系统应用和财务系统应用都是基于Windows XP系统环境下进行开发的。所以升级系统后就会出现难以兼容或者运行不畅的问题,如果要全部重新开发升级,又牵涉到巨大的人力、金钱和时间成本,说到底还是一个“钱”的问题,系统升级和设备迁移也就难以为继。


此外,还有安全方面的考虑。此前政府机构的采购中心就对Windows 8系统心存顾虑,担心架构的不稳定可能会对国家安全造成威胁,地方政府也就难有动力去更新系统了。最后还要说到这些公共机构普遍缺乏安全管理意识,虽然他们也都配有相应的网络安全工程师,但通常都是出事后才想到要维护系统安全,平时根本不知道防患于未然。


总之,没钱、耗时、复杂、缺乏安全意识,这些因素最后导致公共机构做不到定期升级系统,勒索病毒来袭时,只好束手就擒。


公共机构关系民生福利和社会秩序,应该与更大的平台合作,配备最先进的系统和设备


虽然财务上捉襟见肘,但是公共民生机构的系统升级却非常重要,一来,公共服务体系一旦瘫痪,将影响到整个社会的正常运转,这并不是耸人听闻,英国此次遭受重创,很多医院的急诊服务和手术服务都必须延迟或者直接取消。这也不是第一次了,去年11月美国旧金山的地铁系统就遭受黑客攻击,造成售票机无法正常工作,直接影响到大家的出行。二来,有些机构还涉及很多个人信息和国家机密,如果受到黑客攻击,这些信息将可能会被泄露,造成更严重的影响。


公共服务机构承担很多功能,遭到病毒攻击容易引发瘫痪。图为受病毒影响的德国火车站


在谈到信息安全的问题时,很多专家都提到建立自主操作系统的重要性,这当然是好事一桩,但是就目前的技术条件来看,能否快速实现,还要打一个问号。主管部门需要加以权衡的问题是:不升级系统可能会遭到木马袭击;升级系统有可能面临信息被窃取的危险。实际上,公共机构可以考虑把系统安全外包给更大的平台,在既有系统的基础之上,进行更有针对性的安全保障服务。中国铁路12306网站和支付宝的合作就是一个很好的参考方向,虽然他们的合作还只是支付层面,并未涉及安全系统。当然做好这件事的前提是要有基本的安全意识,另外舍得花钱。



结语




勒索病毒来袭,公共机构却不堪一击,这带来很大的警醒作用,尤其在物联网发展的时代,兹事体大,不能掉以轻心。



病毒来袭,公共机构不该成为“重灾区”。喜欢本文,欢迎转发   




本期责编 

奚应红  

是小溪不是大海



民科新套路,科学圈该如何应对?

滴血测癌”扭曲公众科学素养 

童星培训如何以“钱”取人



出品 腾讯评论

版权声明:本文系腾讯评论独家稿件,转载请注明出处,否则将追究法律责任。


点击“阅读原文”可直接购买《观复》


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存