美國最大油管商付贖金440萬美元的深刻教訓─科技與智慧（28）

作者：陳華夫

約兩週前（2021/5/7日）美國最大油管商─「殖民管線」（Colonial Pipeline）─遭網路駭客「黑暗面」（Darkside）的「勒索軟件」（Ransomware）襲擊，導致美國17個州與華府陷入能源危機（詳見拙文美遭「勒索軟件」勒贖5百萬美元的本質及正確處理的真相─科技與智慧（27）。

據《華爾街日報》2021/5/19日報導，該公司行政總裁布朗特（Joseph Blount）承認他批准向駭客客交付贖金440萬美元，他說：「這是一個極具爭議的決定」，但認為「這是對國家正確的事情」。他表示眼看贖金流向這些人手中讓他感到不舒服，該公司實際付的是等值的「比特幣」1822萬令吉（按：1馬來西亞令吉（ MYR ）約轉換為6.75新台幣，及約為0.0000058 BTC (比特幣)）（見美最大油管營運商「殖民管道」認付黑客440萬美元）

此次「勒索軟件」是以交付贖金落幕，但可料想，類似的「資安事件」將變本家利，層出不窮，無辜的企業一再被駭客「剪羊毛」與「割韭菜」的打劫，難道就束手無策了嗎?

本文分析此事件的深刻的教訓：
1）「勒索軟件」是「零和賽局」：
美國聯邦調查局（FBI）長久以來敦促遭勒贖的苦主，不可交付贖金，而助長食髓知味的駭客之囂張氣焰（見被勒贖軟體攻擊該付贖嗎？ FBI這麼說），但此次事件的行政總裁布朗特曾與駭客勒贖談判專家諮詢後，才決定付了贖金。為何專家的意見與FBI相左呢？FBI打擊犯罪的呼籲為何不可行？

從「賽局理論」（Game Theory）─研究具有鬥爭或敵對性質現象的數學理論和方法─的觀點來看，苦主與駭客面臨的是「零和賽局」（Zero-sum Game）─即表示苦主與駭客的利益總和為零，甲方有所得，乙方必有所失，例如其它「零和賽局」的例子：賭博、期貨和選舉等。

「零和賽局」一定會出現尷尬的帕累托效率（Pareto efficiency）的現象─即不可能在不使任何其他人受損的情況下，進一步改善某些人的情況；例如油管商若不付贖金，美國東部缺油，油價上漲，人民受害。若付贖金則油管商受損及助長犯罪。這是油管商的「軟肋」，駭客的「商機」。最後油管商兩害相權，非常「不舒服」的付了贖金。

所以，我在上面的拙文中建議，大型企業一定要修補「軟肋」，不管是花多少成本，最好要運行一套「並行系統」（a parallel system）。也就是應該不計成本，在分離的、兩個相同的大系統下，運行一模一樣的營運系統。當一個系統被駭，另一個平行系統可助其以「備份系統」運行。（見網絡談判：一種網絡風險管理方法─保衛城市的關鍵基礎設施網絡攻擊）

2）虛擬貨幣需加強管控，或停止支付平台兌換：
駭客此次能夠得手，除了利用油管商的「軟肋」，並且業利用「虛擬貨幣」可在數位平台接受支付的金融現況；2021/3/30日PayPal宣布，即日起美國客戶透過「Checkout with Crypto」（看看虛幣）這個功能，即可將虛擬貨幣市場三大主流幣﹕BTC (比特幣)、ETH (以太幣)、‎LTC（萊特幣）之現金不加收手續費即時兌換為美元。但BTC (比特幣)卻同於美元主權貨幣或主權數位貨幣不具追蹤性。

特斯拉的馬斯克還一度允許「比特幣」可以買Model 3及Model S，他認為即指出：「比特幣只是一種比現金不白癡一點的流動性資產。」「當法定貨幣的實際利率為負值的時候，只有傻瓜才不會往別處看。」
媒體認為「虛擬貨幣」大行其道，是不滿美國1.9兆及預計的3兆美元基建的大規模印鈔美元。但各國央行紛紛提出警告，「濫用加密貨幣和虛擬資產」是一個日益嚴重的問題，除了毒販用以洗錢，更成為資助恐怖分子的管道（見拙文「虛擬貨幣」比特幣可買電動汽車特斯拉的背後意義─美中經濟（37））。如今造成美國東部能源危機事件所付的贖金是BTC (比特幣)，虛擬貨幣需加強管控，或停止交付平台兌換，已刻不容緩。

據英國《金融時報》2021/7/21報導，美財長耶倫召集財政部、美聯儲、SEC等監管機構開會出台監管加密貨幣框架。目前加密貨幣行情飆漲，帶動穩定幣（StableCoins）也水漲船高。過去兩天內，加密貨幣的比特幣(Bitcoin)價格已經下跌約2000美元，至約29500美元，接近上月底創下的低點。加密貨幣的以太幣(Ether)也面臨拋售壓力。2021/3/30日PayPal平台宣布，即日起美國客戶透過「Checkout with Crypto」（看看虛幣）這個功能，即可將虛擬貨幣市場三大主流幣﹕BTC (比特幣)、ETH (以太幣)、‎LTC（萊特幣）之現金不加收手續費即時兌換為美元。但BTC (比特幣)卻有無法被追蹤性的特點。而用美元或英鎊等標準貨幣直接購買加密貨幣（如比特幣或狗狗幣(Dogecoin)等），手續麻煩。不如直接購買穩定幣就簡單多了。美國證券交易委員會(SEC)主席加里•根斯勒表示，全球加密貨幣行業價值2兆美元，規模之大使其無法游離於監管框架之外，他說，「歷史清楚地告訴你，游離於框架之外是無法長久的。歸根結底，金融關乎信任。」(見SEC主席：加密貨幣交易平台急需監管)

穩定幣是私人發行，但與其他資產掛鉤的數位貨幣，目前市值前三大穩定幣為「泰達幣」（Tether）、美元硬幣（USD Coin）和幣安幣美元（Binance USD）。三者總市值從去年約110億美元，已飆漲至目前約1,000億美元。但因為許多穩定幣宣稱與美元1:1掛鉤，而兌現1:1掛鉤承諾所需維持的巨額儲備，也對金融市場有潛在風險，任何如此巨額儲備的迅速變現，將增加短期債務市場動蕩的風險敞口。評級機構惠譽(Fitch)表示，穩定幣的儲備資產中有很大一部分是商業票據，若穩定幣出現贖回潮，很容易衝擊商業票據市場。（見耶倫強調迅速出台穩定幣監管框架，葉倫召集Fed、SEC 探討穩定幣，及惠譽：穩定幣可能破壞短期信貸市場穩定）

英國《金融時報》2021/8/27日報導，雖然央行數位貨幣的趨勢是不可避免，英國央行和美聯儲推行央行數位貨幣仍有疑慮，因為有了央行數位貨幣，企業和個人可以直接在央行開立帳戶。儘管這也許會帶來效率，但它會終結了銀行的金融中介角色，間接融資的貸款將減少，拖累整體經濟增長。並且，當銀行貸款業務萎縮，利潤將減少，則會增加收費，就無法建立一個更便宜、更普惠的金融體系。（見央行不應倉促推出數位貨幣）

3）媒體報導必須適度克制：
此次事件從勒贖到付贖金，歷經兩週，因為事關美國東部能源危機的民生問題，媒體大肆報導，多有猜測，人民雖有知的權利，但這會影響勒贖事件的背後談判，若民意一面倒的要快速解決，回歸日常生活，油管商談判的籌碼就較少，就將付出較大的代價。所以媒體的報導必須適度克制。

結論：
「勒索軟件」是「零和賽局」，大型企業要修補「軟肋」，運行一套「並行系統」。虛擬貨幣需加強管控，或停止支付平台兌換，媒體報導則必須適度克制。

請看「陳華夫專欄」─科技與智慧─系列文章：
（
電動汽車世界爭霸啟示錄之（1）─科技與智慧（1）
什麼是「耳機主動式」降噪？─科技智慧（2）
從打「高爾夫球」看「人工智慧」與人類學習之差異─科技智慧（3）
臉書、Line、youbube、方格子等數位平台的差異與經營之道（修訂版）─科技智慧（4）
AI「深度學習」的缺陷及我親身的補正？─科技智慧（5）
美中彈道導彈之異地異時攻擊的衛星太空爭霸錄─科技與智慧（6）
「斜槓族」、「兩棲青年」、與「空巢青年」的人生─科技與智慧（7）
何謂量子晶片？美中「量子科技」爭霸錄─科技與智慧（8）
「模式識別」本質上是「腦筋單槓」─科技與智慧（9）
「模式識別」─我40年的鍛鍊腦力的秘笈─「腦筋拉單槓」─科技與智慧（10）
諾貝爾獎的教育反思─「自學」與「學校教育」─科技與智慧（11）
璀璨的諾貝爾獎「拍賣理論」之評估「台股上市股票交易」與「5G頻段招標」─科技與智慧（12）
馬雲通過「合夥人制」及「有限合夥制」實際控制阿里巴巴及螞蟻集團─科技與智慧（13）
6G太赫茲(THz)通訊技術─科技與智慧（14）
蘋果新款「M1晶片」之AI晶片爭霸戰─科技與智慧（15）
第三代半導體的手機明星配件─「超小型65W GaN(氮化鎵)快速充電器」─科技智慧（16）
什麼是「人造太陽」（可控核聚變（融合））─科技與智慧（17）
AZ及強生腺病毒疫苗造成血拴之主要機轉─科技與智慧（18）
什麼是「快速光介質」隱身斗篷─科技與智慧（19）
「碳基晶片」及「奈米碳管」世界爭霸錄─科技與智慧（20）
電動汽車世界爭霸啟示錄之（2）─科技與智慧（21）
臺灣老人拒打AZ疫苗的背後真相─科技與智慧（22）
施打何種疫苗對新冠變種毒株有效？─科技與智慧（23）
警惕「網路工程師」職場的陷阱─科技與智慧（24）
WHO所批准的七種新冠（COVID-19)疫苗─科技與智慧（25）
台積電可能造成臺灣「荷蘭病」之真相─「科技與智慧」（26）
美遭「勒索軟件」勒贖5百萬美元的本質及正確處理的真相─科技與智慧（27）
美國最大油管商付贖金440萬美元的深刻教訓─科技與智慧（28）
血氧濃度降低是戴口罩運動猝死的真相─科技與智慧（29）
誰適合唸「理工科」？─替臺灣產學合作之「半導體學院」把脈─科技與智慧（30）
電動汽車世界爭霸啟示錄（II）─科技與智慧（31）
中美博奕大戰略之中美尖端高科技爭霸的真相─科技與智慧（32）
智慧舒適的側睡治打鼾─科技與智慧（33）
）