2021年1月6日,《科技纵览》(IEEE Spectrum)期刊官网发布《2021年网络安全和信息技术失败综述》,总结了2020年报道的信息技术领域挫折,以期吸取教训。文章也指出,虽然2020年历经艰难坎坷,却没有出现这种特别的IT灾难。
(1)航空业:(几乎)人人有份
过去几年来,航空公司平均每月出现一起与信息技术相关的航班延误和取消事件。2020年伊始,英国航空公司(British Airways)在伦敦希斯罗机场(Heathrow Airport)的电脑值机系统出现“技术问题”,导致100多个航班取消,更有大量航班延误。在2月份的两天时间内,至少有1万名旅客的出行计划受到此次故障影响。进入3月,随着政府颁布的新冠疫情旅行禁令开始生效。美国达美航空(Delta Air Lines)称,公司的订票和改签系统出现“间歇性技术问题”。
然而,随着旅行禁令收紧,飞行航班数量降至最低水平,再也没有航空公司报告过重大IT故障。但笔者怀疑这种情况不会持续太久,因为航空公司的排班开始恢复至接近“正常”水平,也许今年晚些时候就会再次出现这类报告了。
2020年,航空公司最大的IT新闻可能就是美国联邦航空管理局(U.S. Federal Aviation Administration)宣布,波音737 MAX 8型飞机在经过一系列整改后可以复飞。而450架已停飞的飞机完成整改可能需要一年时间。该局适航指令(Airworthiness Directive)要求“安装全新飞行控制计算机(FCC)软件;修订现有《飞机飞行手册》,纳入新增和已修订飞行机组程序;安装全新MAX显示系统(MDS)软件;更改水平稳定器微调线路布线安装;完成攻角(AOA)传感器系统测试;并执行一次运转准备飞行。”虽然巴西和欧盟国家的民航管理机构均已批准737 Max复飞,而加拿大等国可能提出了附加要求。”
波音Max 8型的软件问题层出不穷(导致狮航JT610和埃塞俄比亚航空302航班坠毁),可以在6月份美国联邦航空管理局总监察长的报告及美国众议院交通和基础设施委员会的最终调查报告中一一回顾。虽然美国航空公司已经在12月底开始允许该机型执飞,但波音公司或航空公司能否说服大众重登Max尚未可知。
(2)汽车制造商:软件漏洞
汽车行业的软件和电子相关召回事件在2019年12月到达历史新高,而且之后并无减缓迹象。2020年初,通用汽车(GM)发布了第二次软件召回通知,这次是为了修复2019年12月首次软件问题召回而导致的问题。首次召回旨在解决软件漏洞,该漏洞可能导致46万辆2019款雪佛兰索罗德、GMC Sierra 1500皮卡和凯迪拉克CT6轿车的电子稳定控制和防抱死制动系统失效,而仪表盘上不会出现警告信息。但这次更新存在缺陷。如果车主使用通用的安吉星(OnStar)应用程序远程启动车辆,制动系统失灵,虽然仪表盘会出现警告。在第一次召回的车辆中,约有16.2万辆汽车遇到了此类问题,而这似乎归咎于软件更新。
现代汽车及其合资品牌起亚汽车(现代汽车持股34%)都曾在2020年发布了多次召回通知,主要涉及可能导致车辆起火的电子电路潮湿问题。许多涉事车辆的车主都收到提示,建议将车辆停在室外,直至故障修复。现代汽车也被迫因为2020款桑塔纳和Nexo车型的软件问题而发起召回,以便更新远程智能停车辅助软件(Remote Smart Parking Assistant)。因为该软件错误可能导致车辆在系统故障的情况下继续不受控制地行驶。
其他汽车制造商也遭遇召回事件。菲亚特克莱斯勒汽车有限公司因软件故障召回31.9万辆2019款、2020款汽车和卡车,因为该故障可能导致车辆的备用摄像头在向前行驶过程中保持开启状态。丰田汽车宣布因软件问题召回70万辆普锐斯和普锐斯V车型,该软件问题可能导致这些车辆无法按预期进入故障安全驾驶模式。同时,本田汽车宣布召回73.5万辆2018至2020款雅阁和2019至2020款Insight,以便对车身控制模块软件进行升级,该缺陷可能导致一个或多个电子元件出现故障,包括后视摄像头显示屏、转向灯和挡风玻璃雨刷。大众汽车也不得不因为软件问题而将新款全电动ID.3车型的上市时间推迟数月之久。
鉴于汽车软件的数量和重要性都在与日俱增,丰田汽车于2020年7月成立两家全新软件公司(隶属于Woven Planet控股公司),以期提高汽车自动化的能力与可靠性。大众汽车在2019年成立软件事业部。通用汽车在11月宣布,将在2021年第一季度末之前再雇佣3,000名工人,提高工程和软件开发能力。
(3)云计算:间歇性故障
虽然云计算总体可靠,但一旦出现故障,可能产生广范围的严重后果。尤其是现在大量人员在家办公或上学,后果就更严重。2020年发生的几起云计算中断事件更加印证了这一点。3月,微软Azure经历了两次中断事件,一次是冷却系统故障导致中断6小时,而另一次则是由于虚拟机容量受限。同月,基础设施组件问题导致谷歌云(Google Cloud)宕机90分钟。4月,微软旗下GitHub经历了多次中断,原因在于各种系统配置错误。6月,外部网络提供商问题导致IBM云服务宕机3小时,而之后在一个月内再次经历宕机,但关于第二次事故鲜有说明。11月,亚马逊美国东部地区的亚马逊网络服务中心(AWS center)中断长达6小时,从Adobe、Roku到华尔街日报等大量客户广受波及。此次事故源自操作系统配置问题。12月,多项谷歌云服务遭遇服务中断,由于谷歌认证系统的存储问题造成首次中断,持续时间约1小时,影响了Gmail、Google Classroom、Nest和YouTube等服务。第二次计划外宕机则影响Gmail服务将近7小时。这次事故的罪魁祸首在于电子邮件配置更新问题。
(4)通信:喂?喂?有人吗?
2020年,仍然有反复出现的通信问题。一些应急服务系统出现断线,例如美国亚利桑那州的911系统在6月出现断线,影响100万用户。7月,英国汉普郡斥资3900万英镑打造的全新999系统出现崩溃。仅9月,美国14个州的911热线服务中断近1小时。
美国第二大的电信公司T-Mobile无线服务在6月推出全新网络路由器,但在长达12个小时内都有大量用户无法使用,导致全国将2.5亿个电话及多个州的2.3万个911紧急呼叫无法接通。德国的沃达丰(Vodafone)11月出现设备故障,10万名移动电话用户无法通话,持续时间3小时。
互联网用户同样受到中断影响。5月,全球视频会议平台Zoom出现故障,导致用户在2小时内无法登陆会议。沟通协作平台Slack中断将近3小时,而Adobe Creative Cloud用户则大半天无法登录。7月,互联网服务公司Cloudfare的主要网络出现配置错误,导致全球在线服务中断近1小时。8月,互联网服务提供商CenturyLink出现故障,几十项在线服务和一大批全球互联网流量随之中断。澳大利亚的DNS问题导致Telstra的互联网服务中断几个小时。9月,微软Azure Active Directory出现故障,北美地区的用户无法使用Microsoft Office 365账户,影响时间长达5小时。10月,网络基础设施更新问题再次影响北美地区的Microsoft Office 365及其他服务用户,时间超过4小时。12月,谷歌连续遭遇日间中断。第一次是由于内部管理系统存储问题,影响Docs、Gmail、Nest、YouTube及云服务等十余项谷歌服务将近1小时。第二天,Gmail服务受到电子邮件配置问题影响,宕机4小时。
Spotify和Tinder等社交媒体公司同样在7月出现中断(由脸书网的问题引起),推特分别在2月和10月出现两次中断,而脸书网欧洲服务也在12月出现问题。
(5)网络犯罪:目标和成本增加
数据泄露,尤其是不安全的数据库泄露,事件数量持续飙升。截至2020年9月底,至少有360亿条记录被曝光。数据泄露的数量似乎有所下降,但发现的大型不安全数据库的数量有所攀升。StealthLabs按月综合整理了25起重大数据泄露事件。
2020年的勒索软件攻击显著增加,尤其是针对政府、教育和医疗系统的攻击,对美国佛罗里达州彭萨科拉市、犹他大学和佛蒙特大学医学中心的攻击就是典型。企业也未能幸免,电子产品公司富士康、医院和医疗服务公司美国环球健康服务(Universal Health Services)、网络安全公司Cygilant纷纷遭到勒索软件的困扰。
2020年10月,美国财务部外国资产控制办公室发布了一份长达5页的公告,警告各机构不要答应勒索要求,因为这样不但会助长更多攻击,而且有可能触犯该机构的规定,招致民事处罚。这份公告是否有效还有待观察。举个例子,宾夕法尼亚州特拉华县在12月同意支付50万美元的赎金。
国家层面支持的入侵同样在2020年屡见不鲜,例如对以色列和阿联酋发起的攻击。俄罗斯主使对美国发起“SolarWinds”攻击,此次攻击在12月份才首次曝光,之后逐步发展升级,引发人们警觉,而其破坏程度尚未可知。
鉴于勒索软件攻击经常源自钓鱼邮件,政府机构和企业已经加强对员工的钓鱼攻击培训,包括使用模拟钓鱼邮件和网站进行钓鱼测试。这些测试一般使用真实钓鱼邮件中的信息作为模板,以便了解员工真实反映。但有些测试结果却适得其反,员工因此产生过度恐慌或愤怒。
(6)金融机构和市场:交易将于明天恢复
2020年元旦开始,英国银行就开始相继出现故障。劳埃德银行集团深受其害,导致数百万名客户无法使用在线和移动银行业务。几天之后,克莱德斯代尔银行和约克郡银行的计算机故障导致工资及其他款项无法到达客户账户。劳埃德银行在6月再次遭遇在线问题,而桑坦德、国民西敏寺和巴克莱等英国银行在2020年夏末也遭遇IT问题。
银行遇到的其余著名的IT问题涉及了美国大通银行和尼日利亚第一城市纪念银行。前者在6月出现“技术问题”,导致客户余额出错,而后者在7月份出现故障,导致510万名客户连续4天难以登入在线账户。7月,澳大利亚联邦银行的客户经历了9小时的在线服务和银行业务中断,澳大利亚国民银行在10月经历了类似状况。此外,印度的HDFC银行的数据中心在11月发生停电事故,导致服务中断2天。由于此次停电故障再加上之前的一些事故,印度储备银行在12月要求HDFC放缓现代化进程,首先要确保其银行基础设施具有充分的可靠性和弹性。
过去一年,证交所和交易平台的IT问题尤为突出。2020年2月,多伦多证交所的硬件错误导致交易暂停2小时,而莫斯科交易所也在5月经历软件问题,致使交易暂停42分钟。7月,法兰克福、维也纳、卢布尔雅那、布拉格、布达佩斯、萨格勒布、马耳他和索菲亚的证券交易所因所用的德国电子交易平台Xetra T7系统出现“技术问题”而停牌3小时。10月,第三方中间件软件技术问题导致阿姆斯特丹、布鲁塞尔、都柏林、里斯本和葡萄牙的泛欧交易所中断交易。同月,东京证券交易所因为硬件故障及随后的备份系统故障瘫痪一整天,这是有史以来最严重的电子中断事故之一。在这些问题的重重压力之下,东京证交所首席执行官宫原浩一郎引咎辞职。11月,澳大利亚证券交易所因软件问题导致交易几乎暂停一整天,这是十多年来最严重的中断事故。
交易平台的IT问题同样层出不穷。据交易平台Robinhood的创始人介绍,该平台在3月份经历了“基础设施压力”,导致公司一周内经历三次空间故障,在6月、8月、11月和12月又相继出现问题。摩根大通在3月出现交易平台问题,而11月嘉信理财集团、E-Trade、富达投资、美林、TD Ameritrade和领航投资都分别出现了交易系统技术问题。12月,嘉信理财集团、富达投资、TD Ameritade、盈透证券集团、Robinhood又出现了故障。
(7)政务信息技术:谁还知道编程语言COBOL?
新冠疫情蔓延,益发凸显了各地政府对传统IT系统的依赖,国家失业系统的表现尤为突出。民众对失业救济金的需求急剧攀升,政府支付金额调整,加上无法迅速重新制定救济金系统,都是个中缘由,其中对美国加州、俄勒冈州和华盛顿州影响尤甚。另外,几乎每个州都遭遇了技术问题,包括猖獗的欺诈行为。4月,美国国家税务局遭遇计算机问题,严重影响了它发放国会批准的刺激经济支票。
美国不是遗留IT问题的唯一受害者。2月,加拿大总理贾斯汀·特鲁多收到一份报告,警告称许多关键任务系统“日渐老旧,存在故障风险”。日本政府在6月承诺推进行政系统现代化,在此之前,这些系统饱受诟病,“至少落后世界20年”。同月,韩国政府也承诺加快数字化经济转型。
虽然失业制度问题成为政府系统困境的主要原因,新闻中也不乏其他报道。美国匹兹堡引入了全新的员工薪资系统,但却在2020年开年遭遇不顺。与此同时,俄亥俄州凯霍加县仍在等待价值3500万美元的全新计算系统,该系统超出预算1000万美元,而且已经比预期晚了两年,可能要到2022年才能准备妥当。
加拿大政府于2016年开始使用凤凰(Phoenix)薪资系统,但频频失误而引发强烈不满,该系统的支付问题尚待解决,其替代系统可能要到明年才能进入早期测试阶段。相比之下,在2013年10月到2015年9月间,密西根州有数万名无辜的失业者被密西根综合数据自动化系统(MiDAS)诬陷存在就业欺诈,这一问题仍未解决。州政府一直在努力争取,但仍未成功撤销要求赔偿的集体诉讼。现在,该诉讼案已经打到了密西根最高法院,有望在2021年得到最终解决。最后,俄亥俄州斥资12亿美元打造福利系统,并于2013年投入使用,对其的审查发现了1100处缺陷,这也是造成去年高达4.55亿美元的福利逾额支付和2.4万件积压案件的原因之一。
(8)医疗信息技术
医学领域向电子健康档案的转变之路颇为坎坷。2020年1月,英国政府宣布投入4000万英镑,用于简化国家医疗保健服务(National Health Service)IT系统的登录流程。据报告,部分工作人员每次轮班需要登录15个不同系统。同月,有报道称,澳大利亚备受争议的“我的健康记录”(My Health Record)系统的2300万条记录中有将近一半无任何信息,这说明大多数澳大利亚病人和参与者仍然认可该系统的好处。3月,《梅奥诊所学报》(Mayo Clinic Proceedings)发表的一篇研究论文指出,美国医生对电子病历(EHR)的可用性评分为“F”,而且其使用体验糟糕导致医生出现了职业倦怠。
5月,英国国家审计署报告称,国民保健署正在推进的IT现代化项目仍然是一团乱麻,这一投资81亿英镑的项目并未吸取之前的失败教训。国民保健署起初在2016年推出价值42亿英镑的“无纸化”项目,承诺在2020年完成,但目标交期不断推后,且最终成本可能会远超当前预期。此外,《JAMA网络开放》(JAMA Network Open)5月发布的一项研究表明,医院的电子病历未能发现33%的潜在有害药物相互作用及其他药品错误。就在6月,JAMA发布的一项研究表明,超过20%的病人发现自己的电子病历记录存在错误。
9月,美国海岸警卫队开始试用全新电子病历系统,该系统基于国防部投入44亿美元打造的军事卫生系统电子病历计划(GENESIS),计划到2024年在国防部全面部署。海岸警卫队在2018年终止了斥资6700万美元却管理不善的电子病历计划。经过长达6个月的延迟,美国退伍军人事务部终于在10月在华盛顿州斯波坎的曼格兰斯塔夫退伍军人医疗中心首次推出电子病历系统。这项耗资164亿美元的电子病历现代化项目计划于2028年完成,但由于重重困难导致延误和成本增加,交付时间可能还要再推迟7年。
12月,加拿大广播公司公开了一份在10月写给萨斯喀彻温省卫生部长的简报。报告中警告,由于长期资金不足,该省的医疗卫生IT系统面临的故障风险日益增加。“在当前的拨款模式下,可能中断服务并危及生命的重大设备故障似乎不可避免”。卫生部长保罗·梅里曼(Paul Merriman)受邀对此置评,他表示“将要求卫生部调查此事,并借助eHealth支持改善系统。”至于为何未在10月份收到简报时过问此事,他并未说明。
(9)警务:计算机错误识别您的身份
自动面部识别(AFR)问题持续困扰执法部门。鉴于美国社会动荡不安,而且对该技术始终存在偏见,6月,微软和亚马逊宣布暂停向警务部门销售面部识别软件。IBM则更进一步,在当月直接宣布今后停止研究此项技术。8月,上诉法院裁定,在政府正式批准之前,英国警方使用自动面部识别技术属于违法。
除了反对使用自动面部识别的声音,预测性警务软件也受到强烈抵制。例如,路易斯安那州的新奥尔良和加利福尼亚州的洛杉矶、奥克兰和圣克鲁斯都已经采取行动,禁止使用预测性警务系统。
12月,马萨诸塞州警方宣布,在影响五年数据的时间和日期故障修复之前,将暂停使用自动车牌读取器。
英国同样不乏其他警务信息技术问题。据报道,2020年1月,由于伦敦市警察局于2018年推出的全新犯罪报告服务出现错误,导致国家欺诈数据库在长达15个月的时间内无法与伦敦警方共享超过30万条欺诈反馈报告。国家欺诈数据库被各大银行、金融机构、执法部门和政府机构用于共享欺诈信息,帮助警方开展刑事调查。随后在10月,全英警察计算机网络由于“人为错误”出现长达10小时的中断,一名警方高级官员表示,此次中断造成了整个国家警队的“绝对混乱”。
iOPS是英国大曼彻斯特警方于2019年底安装的昂贵的新计算机系统,关于这个系统的争议全年持续不断。在上个月就出现过一次崩溃。iOPS系统操作困难已经开始导致警方无法准确记录犯罪数据。
(10)铁路运输:终于出现积极的列车控制
2020年以来,列车或地铁的信息技术问题鲜有报道。7月,有报道称,渥太华的轻轨交通系统仍然受到计算机和其他问题困扰。9月,旧金山地区BART系统服务因为“十几个现场网络设备中有一台设备”出错而关闭约4小时。
最大的新闻就是,经过长达12年的努力,美国41条货运和客运铁路现已达到联邦规定的要求,部署了列车正向控制,防止列车事故,例如车速过快导致列车相撞和脱轨,因道岔切换错误造成行驶错误,以及列车未经授权驶入工作区域等。但是,车辆-列车和轨道或设备故障也有可能导致列车事故。这项要求的最初完成期限是2015年底,之后又推迟5年,这是由于明显发现大多数铁路无法满足要求。
值得注意的是,美国国家运输安全委员会早在1969年就推荐了一种自动列车控制方式。
新一代信息科技战略研究中心 供稿人:徐婧
声明:本文来自新一代信息科技战略研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。