作者:莫乃光 | 评论(0) | 标签:港交所, 香港政府, 黑客入侵, 披露易, DDoS
八月十一日的中午前开始,港交所的「披露易」网站遭到黑客攻击而瘫痪,港交所「果断」地决定把七只股票整个下午停牌,包括匯丰、国泰和港交所自己三大蓝筹,和一只可换股债券;结果,影响四百多只衍生工具如窝轮给牛熊证,令一眾「坐货」的股民「被坐艇」,以致翌日一开市,有关轮证价值已经蒸发了二千万元。
「披露易」事件,引发出多个关於港交所以至香港政府的危机及风险管理的问题,当中亦涉及技术和监管决定的问题。港交所在十一时许发现被入侵,在午市休息时段已决定把相关股票停牌,理由是保障资讯公平,方作出这「痛苦决定」,但却仍有证券商能在下午开市初段成功交易,这又是否哪里出了错?
单向思维不利应变
对於停牌的决定,证券业界和股民多数表示不满。当然,在任何危机关头,作出即时决定不是容易的事,港交所对「披露易」被入侵事件,的確有高层即时处理,没有人能说他们没有尽力,但事件的处理若有未尽人意,政府和监管机构都有检討的责任。
首先,停牌是否就是能保障资讯公平?监管机构保障资讯公平,目的是交易能在公平环境下进行,结果才是最重要,如果僵化地处理资讯公平,结果明显地令部分股民无法交易,但眾所周知,大户却能继续在这些股份停牌下对冲,这结果又是否公平?
更令人关注的,是港交所为何达致这样的决定?笔者曾经向財经市场人士查询,他们都未能想出本地或海外市场的里似决定;黑客入侵交易系统並非首次,停牌更常有,但因为这样的事故而停牌就想不出先例了;加上,停牌决定是根据什么程序作出,除了知道港交所管理层曾经知会证监会外,全不透明。
因此,令人怀疑的是,港交所作出此决定,是否由於一种「直线」的单向思维,即「if A then B」,却没有足够考虑在不同情况下的「A」和「B」,都可能有不同的前因后果。甚至,身兼监管责任的官员,会否在这单向思维的习惯下,只顾保护自己一方避免付上责任,而採取最「安全」、依书直解,但未必是最佳的应急决定?
政府要正视,不是淡化
笔者无意以现有的有限资料过分指责港交所的做法,但香港政府的確有责任调查清楚,至少也要令港交所、证监会和政府本身,都在这次事件中学习一课,並適当地向公眾作出交待。
然而,在事发翌日早上,財政司司长对传媒发言时称,黑客入侵交易所系统並非香港独有,在世界各地时有发生;当时,笔者正在一家收费电视台的时事节目直播中,听到此话,主持人和嘉宾包括立法会议员涂谨申和前政府高官何永谦及笔者,举座哗然!在场所有人都觉得,財爷在不当的时间,不当的情形下,作了不当的评论。
財爷说的,在客观事实上没有错,笔者也有说过类似的观察,然而,財爷他口中说出来就难免令人有护短的感觉。有些说话,身分不同就不应说了,財爷一番话只令人觉得有意淡化事件,因为公眾对他的期望,以及他的责任,是正视事件,公平地调查真相,然而,在事发不足一天便出来这样说话,犯了公关大忌。
不过,若然这並非个別「公关」错误,而是反映香港政府官员一种对危机的自然反应,就是出来告诉市民可以放心,没有问题,「大事化小」,而相反却把另一些问题(例如外佣留港事件)政治性地「小事化大」,这样实非香港之福,亦解释了为何香港政府的管治水平沦落至此。
应对措施,过於simple、naive?
除了以上关於监管决定的问题,尚待调查和澄清外,「披露易」当然亦令人关注港交所的技术及保安能力,能否抵御几乎无可避免的黑客挑战。
事发当天,很多人即时会问,为什么港交所「披露易」没有后备系统?当然,这个疑团在港交所宣布事件是因为被黑客入侵所致后,答案就很清楚:后备系统在此情况下也基本上没有帮助,因为后备系统必定与原本系统是一样的,能攻破原本系统的,也必能同样击破相同的后备系统。所以,我们不应批评港交所没有后备系统。
不过,港交所在事发后翌日宣布的资料及对应措施,却令人对其应变准备有点担心。根据港交所的资料,他们的系统是遭到「数以百计」的「丧尸电脑」,从多个国家以「分散式阻截服务攻击」(DDoS,Distributed Denial of Service)指向「披露易」,令其系统瘫痪。虽然港交所承认之前也曾遭受黑客攻击,但他们却在这次事发后才「按警方建议及时加装过滤装置」(这是其「即时措施」之一),另外增加网络供应商提供的频宽(这是其「长期措施」之一),才减低企图入侵者的影响。如果以港交所这样的香港重要设施都只能做到这些,就真的令人胆战心惊了!
面对DDoS,並非束手无策
首先,今时今日,「数以百计」的「丧尸电脑」,其实已经不算是大规模的进攻,我们还不要与港交所「斤斤计较」,就当他们在数字上在现时阶段说得比较保守,將来可以修正,但港交所竟然要警方指教他们怎样做网络保安防御,不是笔者质疑警方能力,是港交所怎能后知后觉至此,在事前竟然没有足够的面对这最常见的DDoS的过滤系统?
但港交所的首席资讯科技总监却指出,这次的DDoS攻击技巧远较过往变化多端,「以极高频率发出大量攻击信息」,他们的专家也需要较多时间分析大量攻击信息,才能引入適当的过滤机制。这说法其实较为合理,但却与官方宣布不尽相同,易令公眾產生混乱,反映港交所的公关处理和讯息披露,未尽人意。
另外,事发后不少评论都指DDoS攻击难以防范,也很难追查发动者身分,但这说法也非必然。其实,技术上有较高机会被攻击的网站和系统,可以安装「入侵侦测系统」(IDS,intrusion detection system),协助採集入侵者的来源和资料,实行网络「CSI」,过去亦有案例,让执法部门成功追查到黑客来源。
例如,去年十二月初美国网上支付商Paypal取消「维基解密」(Wikileaks)的捐款户口,因而被企图报復的黑客攻击,Paypal的IDS系统发现了一千多个IP地址,並將之转交联邦研究局(FBI),结果,FBI在调查后发出了四十多个搜查令,在上月向十四人提出了检控。我们未能肯定港交所有没有像Paypal般的自我防御措施,但无论以前如何,希望他们未来都会有更足够的准备。
加强披露,挽回信心
未来港交所的改善措施,不能只包括现在已宣布的分散「披露易」的资料发放、装置过滤装置和增加频宽这些十分基本的措施。我们应该问的问题,包括港交所有否全盘的灾难復原计划,计划有否改善的空间?当然,因为风险原因,这些敏感的应变计划资料未必应该完全公开於世,但適当程度的披露,就和「披露易」本身的原意一样,有助公眾的知情和建立信心。
事件也令公眾、资讯科技界及尤其资讯保安专业人士关注到,港交所对资讯保安的重视和投放资源的水平,是否足够。港交所是香港在投资资讯科技方面最大的本地机构和企业之一,但他们的投资中有多少是直接投放在资讯保安?港交所和香港政府若能正视这次的网络安全事件,將对香港企业甚至政府本身未来对网络安全的重视,有长远和重要的正面影响。「披露易」被攻击而引起广泛社会关注,正是当局带头重视网络保安的好机会,淡化事件肯定是最错误的做法。
最后,传媒报导,港交所在事件后快速聘请了来自以色列的网络保安专家,远道来港协助处理。笔者不能不问,难道香港没有人能?小小的香港,已经拥有全亚洲第二最多的已考取「资讯系统保安专业认证」(CISSP)的人数,也拥有全球最具规模之一的网络安全管理企业。我们不要排外,但绝不应排內。
原文刊於信报论坛 2011.08.16
http://www.hkej.com/template/forum/php/forum_details.php?blog_posts_id=71784
谁玩转了大龙凤? / 2011-08-23 00:07 / 评论数(7)港推动 4G应放眼世界 / 2011-08-20 09:25 / 评论数(0)IT界选民首次不增反减,更易操控! / 2011-08-16 12:33 / 评论数(0)自愿医保效益仍存问號 / 2011-08-15 13:59 / 评论数(0)「披露易」故障疑点多 / 2011-08-14 01:39 / 评论数(0)
本文由自动聚合程序取自网络,内容和观点不代表数字时代立场