美國最大油管商付贖金440萬美元的深刻教訓─科技與智慧(28)
作者:陳華夫
約兩週前(2021/5/7日)美國最大油管商─「殖民管線」(Colonial Pipeline)─遭網路駭客「黑暗面」(Darkside)的「勒索軟件」(Ransomware)襲擊,導致美國17個州與華府陷入能源危機(詳見拙文美遭「勒索軟件」勒贖5百萬美元的本質及正確處理的真相─科技與智慧(27)。
據《華爾街日報》2021/5/19日報導,該公司行政總裁布朗特(Joseph Blount)承認他批准向駭客客交付贖金440萬美元,他說:「這是一個極具爭議的決定」,但認為「這是對國家正確的事情」。他表示眼看贖金流向這些人手中讓他感到不舒服,該公司實際付的是等值的「比特幣」1822萬令吉(按:1馬來西亞令吉( MYR )約轉換為6.75新台幣,及約為0.0000058 BTC (比特幣))(見美最大油管營運商「殖民管道」認付黑客440萬美元)
此次「勒索軟件」是以交付贖金落幕,但可料想,類似的「資安事件」將變本家利,層出不窮,無辜的企業一再被駭客「剪羊毛」與「割韭菜」的打劫,難道就束手無策了嗎?
本文分析此事件的深刻的教訓:
1)「勒索軟件」是「零和賽局」:
美國聯邦調查局(FBI)長久以來敦促遭勒贖的苦主,不可交付贖金,而助長食髓知味的駭客之囂張氣焰(見被勒贖軟體攻擊該付贖嗎? FBI這麼說),但此次事件的行政總裁布朗特曾與駭客勒贖談判專家諮詢後,才決定付了贖金。為何專家的意見與FBI相左呢?FBI打擊犯罪的呼籲為何不可行?
(圖片來源:gnews.org)
從「賽局理論」(Game Theory)─研究具有鬥爭或敵對性質現象的數學理論和方法─的觀點來看,苦主與駭客面臨的是「零和賽局」(Zero-sum Game)─即表示苦主與駭客的利益總和為零,甲方有所得,乙方必有所失,例如其它「零和賽局」的例子:賭博、期貨和選舉等。
「零和賽局」一定會出現尷尬的帕累托效率(Pareto efficiency)的現象─即不可能在不使任何其他人受損的情況下,進一步改善某些人的情況;例如油管商若不付贖金,美國東部缺油,油價上漲,人民受害。若付贖金則油管商受損及助長犯罪。這是油管商的「軟肋」,駭客的「商機」。最後油管商兩害相權,非常「不舒服」的付了贖金。
所以,我在上面的拙文中建議,大型企業一定要修補「軟肋」,不管是花多少成本,最好要運行一套「並行系統」(a parallel system)。也就是應該不計成本,在分離的、兩個相同的大系統下,運行一模一樣的營運系統。當一個系統被駭,另一個平行系統可助其以「備份系統」運行。(見網絡談判:一種網絡風險管理方法─保衛城市的關鍵基礎設施網絡攻擊)
2)虛擬貨幣需加強管控,或停止支付平台兌換:
駭客此次能夠得手,除了利用油管商的「軟肋」,並且業利用「虛擬貨幣」可在數位平台接受支付的金融現況;2021/3/30日PayPal宣布,即日起美國客戶透過「Checkout with Crypto」(看看虛幣)這個功能,即可將虛擬貨幣市場三大主流幣﹕BTC (比特幣)、ETH (以太幣)、LTC(萊特幣)之現金不加收手續費即時兌換為美元。但BTC (比特幣)卻同於美元主權貨幣或主權數位貨幣不具追蹤性。
特斯拉的馬斯克還一度允許「比特幣」可以買Model 3及Model S,他認為即指出:「比特幣只是一種比現金不白癡一點的流動性資產。」「當法定貨幣的實際利率為負值的時候,只有傻瓜才不會往別處看。」
媒體認為「虛擬貨幣」大行其道,是不滿美國1.9兆及預計的3兆美元基建的大規模印鈔美元。但各國央行紛紛提出警告,「濫用加密貨幣和虛擬資產」是一個日益嚴重的問題,除了毒販用以洗錢,更成為資助恐怖分子的管道(見拙文「虛擬貨幣」比特幣可買電動汽車特斯拉的背後意義─美中經濟(37))。如今造成美國東部能源危機事件所付的贖金是BTC (比特幣),虛擬貨幣需加強管控,或停止交付平台兌換,已刻不容緩。
3)媒體報導必須適度克制:
此次事件從勒贖到付贖金,歷經兩週,因為事關美國東部能源危機的民生問題,媒體大肆報導,多有猜測,人民雖有知的權利,但這會影響勒贖事件的背後談判,若民意一面倒的要快速解決,回歸日常生活,油管商談判的籌碼就較少,就將付出較大的代價。所以媒體的報導必須適度克制。
結論:
「勒索軟件」是「零和賽局」,大型企業要修補「軟肋」,運行一套「並行系統」。虛擬貨幣需加強管控,或停止支付平台兌換,媒體報導則必須適度克制。
美遭「勒索軟件」勒贖5百萬美元的本質及正確處理的真相─科技與智慧(27)
美燃油管道營運商Colonial Pipeline向黑客支付440萬美元