首頁 書報攤 報告內文
美國監理機構開始把資安的重點轉向雲端服務業

2023/08/10 提供機構:台灣銀行家
字級設定:

 撰文:David Stinson孫維德 資安已經越來越接近國安的核心,而且許多國家聘雇的駭客也都發展出先進的方式持續進行攻擊。我們必須找到一些能夠永續的商業模式,建立能夠為此負責的資安公司。


與其他種類的安全性問題相比較,資安問題不只存在於組織型還有個人型態,每一個人都有可能發動攻擊政府,並以前所未有的方式在影響整個世界。

這些組織與個人背後的勢力有善有惡。國際犯罪集團與國家資助的駭客,都造成了前所未有的損失。因此各種新的資訊平台應運而生,業務遍及全球。

例如社群媒體這種平台,過去10年就引發大量討論。光看「認知戰」(CognitiveWarfare)一詞在台灣與中國等地的熱門程度,就知道資安對國家主權的威脅有多大。例如台灣就經常抗議臉書找中國人進行內容仲裁,影響言論環境。

「認知戰」在美國沒有那麼紅,原因可能是美國在思考台海危機時,比較重視慘烈的軍事衝突,而非各種「灰色地帶」的騷擾。但整體來說,類似問題在美國也經常有人討論,只是重點放在亞馬遜而非臉書。目前為止,社會都低估了雲端服務業者(Cloudservice providers, CSPs)的地緣政治影響力。雲端服務在全球經濟和社會中相當重要,且雲端服務業者的內部管理決策會以類似社群媒體的方式影響小型國家的安全。雲端服務對地緣政治的重要性,遠高於地緣政治對雲端服務。

集中的風險需要好好管理

美國已開始加強關注雲端服務,以及該服務對金融監理的影響。美國財政部在2月發布了第一份相關跨部門報告:《金融業雲端服務採用情況》(TheFinancial Services Sector's Adoption of Cloud Services)。報告顯示,雖然金融業目前已認識到雲端服務的價值,但也有其顧忌,而且雲端服務會帶來新的風險。此外,雲端服務會搶走金融業的某些業務,兩者有競爭關係。

該報告指出,「雲端服務可以降低地方社區的使用門檻,並使其更為穩定;此外能使社區銀行與金融科技公司分庭抗禮……然而金融服務業在進一步仰賴雲端服務的過程中,必須保持透明、建立後台團隊,並能在發生資安問題時立刻得到雲端服務公司的協助」。

雲端服務注定會面臨「金庫問題」(Fort Knox Problem)。這個詞來自1964年的OO七電影《金手指》,故事中的關鍵資產全都存放在諾克斯堡,長年靠重兵把守得很好,但也因此被歹徒看上,一次炸壞。卡內基國際和平基金會2020年的一份報告指出,各種不同類型的環境衝擊,都有可能影響到雲端服務的穩定性,而雲端服務的普及,可能會讓許多產業都因此受到整體影響。

當然,目前的走向剛好相反。微軟在烏克蘭網路戰中幫了很大的忙,意外地成為美國權力投射的工具。

規模決定力量

《金融業雲端服務採用情況》中不斷提到,金融機構規模越小,跟雲端服務業者談判的籌碼越少。中小型金融機構很可能無法要求業者將資料開放稽核,也難以要求業者給予備份容量、保證服務不會突然終止。

規模較小,比較複雜的服務,轉移到雲端可能就未必節省成本。理論上,雲端服務業者希望客戶各自處理該行業的監理需求,雲端資料只是整合不同產業的資訊,讓客戶獲得競爭優勢。簡單來說,這些業者喜歡資料量大,不惹麻煩的客戶。財政部的報告指出,中小企業為了降低稽核成本,將資料「集中」至雲端管理,想要像大型客戶一樣。

雲端服務除了會造成系統性風險以外,與客戶來往的窗口與方式也很容易被入侵。雲端服務雖然日益受到重視,但人力需求緩不濟急。在某些狀況下,舊的資安技能甚至完全過時,需要全新的員工。

但這些新的工作需求不只是找不到夠多員工,還改變了商業格局。許多不同類型的顧問和中介機構都在尋求經濟學家RashaMakhlouf所謂的「元宇宙服務」(Meta Services),也就是把資料送上雲端。但這會增加成本,機構經手的事務也會更難究責。財政部發現規模較小的機構,受到的相關威脅更是高得不成比例。但這也不意外,畢竟服務水準協議(Service-LevelAgreement, SLAs)極為複雜,天天處理這類法規的服務供應商,當然在談判時大為有利。

雲端服務業者與客戶互動所造成的風險,或許可以靠監理來降低。《金融業雲端服務採用情況》就指出,由於雲端服務業者經常將監理最嚴格的部份外包到其他市場,歐洲銀行監理機關的標準,已經使美國金融機構獲益。

省錢會付出代價

雲端服務業者的資安作風,決定了能與客戶進行哪些合作;但每一種作法的成本也各不相同。目前來說,採用雲端服務的最佳理由是容易擴大規模,資料少的時候費用不高。但資料一旦變多,雲端服務業者的成本還是會回到客戶身上。

客戶維持談判條件的方式之一,是同時跟數家雲端服務業者合作;但財政部的報告也指出,只有大公司才有這種條件,而且這種疊床架屋的作法,勢必會削弱雲端服務能帶來的利益。因此,雲端服務注定會奪走某些金融業的價值。

這顯示金融業必須尋找新的價值來源,幸好雲端服務本身就是一個機會,雲端服務能夠提供客製化的人工智慧服務、API串接以及在家工作,都是客戶與其他利害相關人士會有興趣的創新。金融業可以繼續用傳統的後台來辦理日常事務,只需要在升級雲端時特別注意,不要為了節省成本而釀出日後的問題。

使用者越多,雲端服務的價值就越大,整個國家的資安也越有可能維繫。

資安需要專業守護

資安領域的成本與效益至今仍難以算出。過去因為找不到明確的商業模式,資安通常都由志工來維護。舉例來說,Open SSL是一個用於HTTPS加密通訊的免費開源資料庫,它在2014年曾因為「Heartbleed」漏洞而造成5億美元的損失,但OpenSSL基金會當時是小型非營利組織,無法以市場價格聘請專家,而這個困境至今都沒有解除。

BuzzFeed》當時在Heartbleed報導中指出,「整個網路的資安,竟然是由兩個叫作史帝夫的人撐起來的」。工作量遠超過了常人的承受範圍,相關的50萬行程式碼自然也寫得雜亂無章。

這種作法總有一天會出事。

資安已經越來越接近國安的核心,而且許多國家聘雇的駭客也都發展出先進的方式持續進行攻擊。我們必須找到一些能夠永續的商業模式,建立能夠為此負責的資安公司。

雲端運算也會被認知戰,或者西方國家喜歡說的心理戰利用。根據報導,烏克蘭就一直利用他們偷到的俄軍個資,打電話給阿兵哥位於俄羅斯的母親,藉此在俄國內部營造反戰聲浪。

心理戰當然與開放媒體有關,烏克蘭的心戰方式也一直都包含入侵傳統媒體。但未來影響力最大的,應該是目前可能還沒有成為焦點的網際網路。畢竟它同時改變了國家安全、財產權以及金融業的商業模式。(本文作者為台灣金融研訓院特聘外籍研究員;譯者為劉維人)
  本文由台灣銀行家提供