莫乃光 | 「披露易」DDoS 事件引发的监管和技术质疑

作者：莫乃光 | 评论(0) | 标签:港交所, 香港政府, 黑客入侵, 披露易, DDoS

八月十一日的中午前开始，港交所的「披露易」网站遭到黑客攻击而瘫痪，港交所「果断」地决定把七只股票整个下午停牌，包括匯丰、国泰和港交所自己三大蓝筹，和一只可换股债券；结果，影响四百多只衍生工具如窝轮给牛熊证，令一眾「坐货」的股民「被坐艇」，以致翌日一开市，有关轮证价值已经蒸发了二千万元。

「披露易」事件，引发出多个关於港交所以至香港政府的危机及风险管理的问题，当中亦涉及技术和监管决定的问题。港交所在十一时许发现被入侵，在午市休息时段已决定把相关股票停牌，理由是保障资讯公平，方作出这「痛苦决定」，但却仍有证券商能在下午开市初段成功交易，这又是否哪里出了错？

单向思维不利应变

对於停牌的决定，证券业界和股民多数表示不满。当然，在任何危机关头，作出即时决定不是容易的事，港交所对「披露易」被入侵事件，的確有高层即时处理，没有人能说他们没有尽力，但事件的处理若有未尽人意，政府和监管机构都有检討的责任。

首先，停牌是否就是能保障资讯公平？监管机构保障资讯公平，目的是交易能在公平环境下进行，结果才是最重要，如果僵化地处理资讯公平，结果明显地令部分股民无法交易，但眾所周知，大户却能继续在这些股份停牌下对冲，这结果又是否公平？

更令人关注的，是港交所为何达致这样的决定？笔者曾经向財经市场人士查询，他们都未能想出本地或海外市场的里似决定；黑客入侵交易系统並非首次，停牌更常有，但因为这样的事故而停牌就想不出先例了；加上，停牌决定是根据什么程序作出，除了知道港交所管理层曾经知会证监会外，全不透明。

因此，令人怀疑的是，港交所作出此决定，是否由於一种「直线」的单向思维，即「if A then B」，却没有足够考虑在不同情况下的「A」和「B」，都可能有不同的前因后果。甚至，身兼监管责任的官员，会否在这单向思维的习惯下，只顾保护自己一方避免付上责任，而採取最「安全」、依书直解，但未必是最佳的应急决定？

政府要正视，不是淡化

笔者无意以现有的有限资料过分指责港交所的做法，但香港政府的確有责任调查清楚，至少也要令港交所、证监会和政府本身，都在这次事件中学习一课，並適当地向公眾作出交待。

然而，在事发翌日早上，財政司司长对传媒发言时称，黑客入侵交易所系统並非香港独有，在世界各地时有发生；当时，笔者正在一家收费电视台的时事节目直播中，听到此话，主持人和嘉宾包括立法会议员涂谨申和前政府高官何永谦及笔者，举座哗然！在场所有人都觉得，財爷在不当的时间，不当的情形下，作了不当的评论。

財爷说的，在客观事实上没有错，笔者也有说过类似的观察，然而，財爷他口中说出来就难免令人有护短的感觉。有些说话，身分不同就不应说了，財爷一番话只令人觉得有意淡化事件，因为公眾对他的期望，以及他的责任，是正视事件，公平地调查真相，然而，在事发不足一天便出来这样说话，犯了公关大忌。

不过，若然这並非个別「公关」错误，而是反映香港政府官员一种对危机的自然反应，就是出来告诉市民可以放心，没有问题，「大事化小」，而相反却把另一些问题（例如外佣留港事件）政治性地「小事化大」，这样实非香港之福，亦解释了为何香港政府的管治水平沦落至此。

应对措施，过於simple、naive？

除了以上关於监管决定的问题，尚待调查和澄清外，「披露易」当然亦令人关注港交所的技术及保安能力，能否抵御几乎无可避免的黑客挑战。

事发当天，很多人即时会问，为什么港交所「披露易」没有后备系统？当然，这个疑团在港交所宣布事件是因为被黑客入侵所致后，答案就很清楚：后备系统在此情况下也基本上没有帮助，因为后备系统必定与原本系统是一样的，能攻破原本系统的，也必能同样击破相同的后备系统。所以，我们不应批评港交所没有后备系统。

不过，港交所在事发后翌日宣布的资料及对应措施，却令人对其应变准备有点担心。根据港交所的资料，他们的系统是遭到「数以百计」的「丧尸电脑」，从多个国家以「分散式阻截服务攻击」（DDoS，Distributed Denial of Service）指向「披露易」，令其系统瘫痪。虽然港交所承认之前也曾遭受黑客攻击，但他们却在这次事发后才「按警方建议及时加装过滤装置」（这是其「即时措施」之一），另外增加网络供应商提供的频宽（这是其「长期措施」之一），才减低企图入侵者的影响。如果以港交所这样的香港重要设施都只能做到这些，就真的令人胆战心惊了！

面对DDoS，並非束手无策

首先，今时今日，「数以百计」的「丧尸电脑」，其实已经不算是大规模的进攻，我们还不要与港交所「斤斤计较」，就当他们在数字上在现时阶段说得比较保守，將来可以修正，但港交所竟然要警方指教他们怎样做网络保安防御，不是笔者质疑警方能力，是港交所怎能后知后觉至此，在事前竟然没有足够的面对这最常见的DDoS的过滤系统？

但港交所的首席资讯科技总监却指出，这次的DDoS攻击技巧远较过往变化多端，「以极高频率发出大量攻击信息」，他们的专家也需要较多时间分析大量攻击信息，才能引入適当的过滤机制。这说法其实较为合理，但却与官方宣布不尽相同，易令公眾產生混乱，反映港交所的公关处理和讯息披露，未尽人意。

另外，事发后不少评论都指DDoS攻击难以防范，也很难追查发动者身分，但这说法也非必然。其实，技术上有较高机会被攻击的网站和系统，可以安装「入侵侦测系统」（IDS，intrusion detection system），协助採集入侵者的来源和资料，实行网络「CSI」，过去亦有案例，让执法部门成功追查到黑客来源。

例如，去年十二月初美国网上支付商Paypal取消「维基解密」（Wikileaks）的捐款户口，因而被企图报復的黑客攻击，Paypal的IDS系统发现了一千多个IP地址，並將之转交联邦研究局（FBI），结果，FBI在调查后发出了四十多个搜查令，在上月向十四人提出了检控。我们未能肯定港交所有没有像Paypal般的自我防御措施，但无论以前如何，希望他们未来都会有更足够的准备。

加强披露，挽回信心

未来港交所的改善措施，不能只包括现在已宣布的分散「披露易」的资料发放、装置过滤装置和增加频宽这些十分基本的措施。我们应该问的问题，包括港交所有否全盘的灾难復原计划，计划有否改善的空间？当然，因为风险原因，这些敏感的应变计划资料未必应该完全公开於世，但適当程度的披露，就和「披露易」本身的原意一样，有助公眾的知情和建立信心。

事件也令公眾、资讯科技界及尤其资讯保安专业人士关注到，港交所对资讯保安的重视和投放资源的水平，是否足够。港交所是香港在投资资讯科技方面最大的本地机构和企业之一，但他们的投资中有多少是直接投放在资讯保安？港交所和香港政府若能正视这次的网络安全事件，將对香港企业甚至政府本身未来对网络安全的重视，有长远和重要的正面影响。「披露易」被攻击而引起广泛社会关注，正是当局带头重视网络保安的好机会，淡化事件肯定是最错误的做法。

最后，传媒报导，港交所在事件后快速聘请了来自以色列的网络保安专家，远道来港协助处理。笔者不能不问，难道香港没有人能？小小的香港，已经拥有全亚洲第二最多的已考取「资讯系统保安专业认证」（CISSP）的人数，也拥有全球最具规模之一的网络安全管理企业。我们不要排外，但绝不应排內。

原文刊於信报论坛 2011.08.16

http://www.hkej.com/template/forum/php/forum_details.php?blog_posts_id=71784