降低「雲危機」 KPMG提醒企業選擇雲端服務也要分散風險

微軟雲服務上周因防毒軟體更新而發生大當機，影響層面包括全球多家航空公司醫療、旅宿業者等大型服務企業，連倫敦證交所、特斯拉供應鏈都受波及，被形容為「IT史上最慘災難」，KPMG提醒，企業使用雲端服務已是趨勢，但要避免成為下一個「雲端跌倒、世界哀嚎」的上雲受災戶，應仿效國際最佳上雲實務，由專業顧問進行事前的架構設計與風險評估。

KPMG安侯企管公司董事總經理謝昀澤表示，企業上雲就像過去每家公司都自己蓋房子住，擁有自建的機房與伺服器；現在為了系統的應用效率及成本優化，快速搬入了集合式出租大樓，採用公有雲服務，雖然集合式大樓外觀堅固又豪華，內部服務新穎又多元，但一旦風險發生，災情更慘重，但賠償可能只有抵減租賃或訂閱費用。

謝昀澤解釋，國際航空公司大量使用雲端服務來處理登機、航機調度、旅客服務等核心作業，一旦雲服務停擺，相關地勤作業都無法進行。該現象暴露了企業的各種服務上雲的需求驟增，但應變措施尚未與時俱進，也凸顯了雲服務的巨大潛在風險與脆弱性。

謝昀澤觀察，公有雲已經成為世界經濟運作的關鍵基礎建設，重要程度不亞於油水電等設施。但資訊科技的世界裡，本來就不存在100%的韌性及永續，雖然企業選擇上公有雲，是強化資訊服務韌性的手段之一，如果沒有妥善的架構配合與流程規劃，不但這類「因安全更新而產生的不安全問題」事件會持續發生，未來恐怕有更多的雲端攻擊與資安災難，會讓上雲策略瞬間「由韌性變成嫩性」。

KPMG亞太區政府領域資安主持人邱述琛分析，公有雲服務是一個複雜的生態系，所有的服務堆疊起來才能提供正常服務，所以在公有雲的服務配置，做適當的多雲、區域分散與合理的時間差配置，並有其他備援系統與人工作業的應變計劃，應該在規劃時就加以考量。

邱述琛也提醒台灣的金融業者，此次的事件也對部分本國金融單位的內部作業與外部服務產生了衝擊，金管會雖已對金融業者用雲端服務有多項規定，包含委外的風險評估及第三方稽核等，除前述要求都應該落實執行外，也建議能參考「金融機構資訊作業韌性規範」要求，從行內核心業務範擴展至雲端服務。

謝昀澤認為，許多資安事故，都是「意料之外、情理之中」，國內企業上雲偏好由系統整合商直接規劃並完成建置之作法，極容易忽略相關配套措施與營運持續風險。