版本:
中国

港报社评:网络勒索华府有责,磋商条约保障平民--明报5月17日

近日黑客勒索程式「WannaCry」(下称Wcry)肆虐全球,影响逾150国家及地区,波及逾30万台电脑,香港亦未能幸免,录得至少31宗个案。今次网络勒索规模之大前所未见,袭击主谋身分尚待调查,惟追究祸源,美国情报机关和微软均有不容推卸的责任。微软主席批评华府发现电脑保安漏洞后,没有即时告知软件商及用户,反而秘密研发网络入侵工具,最后落在不法之徒手上,为祸全球。各国政府必须汲取教训,尽快磋商国际条约,规限网络武器研发和使用,不得将电脑保安漏洞资料,当成网络武器原材料据为己有。

Wcry病毒四处蔓延,俄罗斯成为头号重灾区,欧美中国印度等亦受到不同程度影响,英国公立国民保健服务(NHS)的急症室和手术室设施等首当其冲,不少手术被迫取消,数以千计病人受影响。相比下,香港灾情已算轻微,只有3宗涉及商业用户,政府电脑系统未受攻击。Wcry最厉害之处,是它能够将电脑内各类型档案加密封锁。施袭者威胁若迟迟不缴赎款,就会删掉档案,幸好有英国保安专家意外发现阻止病毒扩散的方法,加上世界各地视窗用户纷纷更新保安软件,灾情才受到控制,迄今黑客勒索所得赎金只有5万美元,全球累计损失估计数亿美元,较预期为少,也没酿成人命伤亡,实属不幸中之大幸。

有美俄防毒软件公司分析,Wcry可能与朝鲜黑客组织有关;不过归根究柢,美国国家安全局(NSA)和微软对于Wcry肆虐,均需负上很大责任。电脑专家指出,黑客利用NSA针对视窗系统漏洞所研发的入侵工具「永恒忧郁」(Eternal Blue),研制出Wcry入侵勒索程式。NSA负责网络情报工作,自2013年中情局前雇员斯诺登揭破美国秘密监控全球网络通讯后,备受国际关注。华府除了被揭要科网巨企在电脑系统「开后门」,以便情报人员监控通讯外,NSA也会暗中蒐集各式电脑系统的漏洞弱点,研制种种「入侵工具」,实际就是网络攻击武器,未料去年有黑客组织成功突破防线,取得一批由NSA研制的入侵工具,并于上月网上公开,当中包括「永恒忧郁」,令不法分子有机会利用它们来作奸犯科。微软主席史密斯便形容,相关失窃的严重程度,「如同美军战斧巡航导弹被盗」。

NSA入侵工具曝光后,微软急忙提供程式更新堵塞视窗漏洞,惟视窗XP等旧版最初并未在修补之列。由于全球仍有不少公私营机构广泛使用XP系统,没有花巨款购买新版视窗,结果令Wcry有机可乘,英国NHS便是因此遭殃。过去微软最为人诟病之处,就是透过停止支援旧版作业系统,变相逼客户付钱升级系统,从而大赚一笔。今次Wcry能够肆虐全球,微软是间接帮凶。

虽然华府坚称,今次勒索软件并非由国安局开发,责任全在黑客,然而正如史密斯所言,今次网络勒索暴露了华府暗中蒐集电脑保安漏洞,却不通知软件商及用户,犹如囤积网络武器,稍一不慎失窃,随时可酿巨祸。华府明知这些漏洞事关重大,影响万千民众,不仅未有负责任地提供资料,反而默不作声,暗中利用它们编写恶意入侵程式甚或网络攻击武器,自然惹来美国民权组织抨击,有国会议员亦主张修例,强制政府就漏洞问题通知软件商。

近年国际网络间谍和攻击活动愈趋激烈,贼喊捉贼屡见不鲜。今年初史密斯曾呼吁,国际社会应参考《日内瓦公约》保护战时平民的做法,磋商《数码日内瓦公约》,确保和平时期平民免受网络攻击伤害,签署国须承诺不会向私营部门和关键民生基建发动网络攻击,不得采取黑客手段窃取知识财产,倘若发现重大保安漏洞必须通知生产商,而非暗中囤积、出售或利用。条约还应授权成立独立国际机构,处理网络安全问题,一如国际原子能机构推动核能和平利用、防止核武扩散的角色。

史密斯的倡议值得支持,关键是美俄中国等拥有强大网络攻击力的国家会否配合。例如数年前,一批西方专家曾研究如何将国际法套用到网络战争之中,北约和美国网战司令部均有派出观察员,令外界颇有期待,然而研究出来的首份文件《塔林手册》,对网络攻击定义诠释弹性之大,连2007年美国以Stuxnet电脑病毒攻击伊朗核设施,也有机会诡辩不违国际法,令人不禁怀疑大国会否真的愿意接受约束。今次Wcry为祸未如预期严重,已令全球抹一把汗,国际社会不应等到出现网络巨灾,蒙受惨痛教训后,才明白有必要携手防止网络攻击。(完)

注:以上的评论仅为摘要,并且不代表路透立场。

**如欲提取相关新闻,请点击下列代码**

香港报摘/社评/财经评论

中国报摘

台湾报摘

我们的标准: 汤森路透“信任原则

更多 亚洲

热门文章

编辑推荐

文章推荐