近期微軟當機事件震撼國際,資安公司CrowdStrike軟體更新有誤,使得全球各大重要公共設施停擺,台灣也有不少公司受害。雖然CrowdStrike市值和知名度都遠遜於微軟,但這起意外讓人看到,不論規模大小,在產業鏈關鍵位置的任何一家科技公司,一旦運作異常或遭入侵,都可能拖垮整個市場運作。
軟體公司CDK Global就是一個經典案例。6月下旬,CDK Global遭駭客攻擊,導致北美地區汽車經銷商營運管理系統大規模當機,甚至有不少客戶機密資訊流入駭客手中,駭客並藉此向CDK Global勒索數千萬美元贖金。該公司目前在美國市占率高達50%,是市占率最高的汽車軟體系統服務商,該公司陷入癱瘓,竟導致美國汽車銷售產業跟著停擺。
這次駭客攻擊凸顯美國汽車銷售業對單一軟體系統商的高度依賴,已成極端風險。華爾街日報指出,不只是汽車業,銀行、航空與醫療產業也有同樣問題,它們都高度仰賴少數利基型軟體公司,平時運作正常,但是整個產業的營運與資訊其實都可能一夕陷入重大風險之中。
《華爾街日報》報導:CDK Global Hack Shows Risk of One Software Vendor Dominating an Industry
高度仰賴少數供應商,銀行、航空、醫療產業面臨巨大風險
以美國銀行業為例,提供核心軟體系統的幾乎都是Fiserv、Jack Henry與FIS等3家軟體公司。根據美國銀行家協會(American Bankers Association)調查,這3家公司市佔率超過70%,其中又以Fiserv為首,市占率達42%。
航空業情況也大致如此,全世界由Amadeus、Sabre和Travelport等3大軟體公司寡占航空系統服務,在全球通路調度系統(Global Distribution System)的市占率達100%;其中以Amadeus的43%為首,其次是Sabre的37%,最後是Travelport的20%。
Sabre平台曾在2013年故障數小時,時間看似不長,但已經為旅客帶來重大不便;Amadeus軟體服務也曾在2017年中斷,導致全球航班延誤。這兩起事件只是後端系統串聯航空公司各項服務當機,並非起因於駭客攻擊,就已經衝擊機票預訂、維護和修理等系統,若它們被攻擊而癱瘓,問題就可能連帶造成系統全面停擺。
此外,醫療保健產業也長期由少數軟體公司提供系統技術服務,有引發大規模故障的隱憂,也就是系統一部份發生故障,就會導致整個系統無法運作。美國第5大企業UnitedHealth Group旗下子公司Change Healthcare今年2月遭駭客攻擊,導致系統凍結數百萬美元款項,竟然連帶影響美國近9成醫院的財務,直到目前,相關理賠、付款、預約看診等作業服務仍在修復中。
