上周五凌晨,全球领先的美国网络安全公司CrowdStrike为旗下Falcon Sensor安全软件推送了一条存在严重bug的自动更新,从而引发了一场波及全球Windows系统大瘫痪。世界各地机场、车站、政府机构、医院等重要场所的显示屏幕上,随处可见微软标志性的蓝屏死机画面(BSOD: blue screen of death)。
CrowdStrike和微软方面迅速做出反应,撤回了软件更新并发布了解决故障的临时补丁,同时设立了紧急支持团队引导客户进行系统重启。截至目前,全球受事故影响的Windows设备已基本恢复正常工作。
据初步统计,全球有850万台设备受到此次事件影响,已造成超过100亿美元的经济损失。CrowdStrike股价在不到一周时间里已经跌去20%,而作为直接用户界面的微软更是承受了无数的批评。作为继千年虫危机(Y2K)以来波及面最广的一起全球IT安全事件,各方在余波过后开始对这一事故进行复盘。
出人意料的是,微软把矛头指向了欧盟。
01.本次事故对欧洲的影响
CrowdStrike安全更新在发布后,立即引起了微软Azure云端虚拟机的大面积崩溃,并迅速蔓延到了谷歌云计算平台和AWS上托管的众多Windows服务器。CrowdStrike在该更新发布的68分钟后进行了撤回,但为时已晚。全球各地依赖其Falcon Sensor软件进行全自动安全更新、以提供实时保护的Windows系统逐一崩溃,陷入了无法自动重启恢复的蓝屏死机循环。
由于事故发生在欧洲时间凌晨,对于运行数量庞大IT网络的系统管理员们而言,确定问题所在并对上百甚至上千台设备进行重启,显然需要大量的时间。机场首先受到了冲击。西班牙、法国、意大利等各国机场工作人员一早无法操作电脑,只能通过人工进行值机检票。时值巴黎奥运将至,整个欧洲的安全警戒本就已处于最高级别,在事故原因尚不明朗、无法排除黑客恶意攻击的情况下,法航、汉莎、芬兰航空等主要欧洲航空公司纷纷暂时停飞航班,造成机场旅客大量滞留。苏黎世机场甚至一度禁止飞机着陆。
而随着问题的澄清,IT系统恢复工作,阴霾逐步散去。欧洲航空业受到本次事故的影响,远小于美国和其他国家。其中一个重要的原因是欧洲机场与航空公司的IT系统对CrowdStrike产品的依赖程度相对较低。而许多欧洲廉价航空公司,如easyJet、Ryanair等为了节省成本,使用的依然是非常简单的IT系统,许多应用甚至还运行在古老的Windows 3.1平台上,没有也无需部署复杂的安全软件。加上欧洲各个机场之间交叉航线密集,不像地广人稀的美国高度依靠枢纽型大机场,各航司可以相对较为容易地疏导客流。
遇到最大的麻烦的恐怕要数本周五即将举办奥运会的法国首都巴黎。7月18日,位于塞纳河畔的全新巴黎奥运村正式启用,开始迎接各国运动员入驻。CrowdStrike的安全更新影响了奥运村的数字身份验证系统,导致次日大量运动员、志愿者和媒体工作人员无法通过扫码验证进入奥运村。组委会被迫临时改用手工方式,打印名单并进行人工身份核对。
出于数据安全考虑,巴黎没有采用奥运会顶级赞助商阿里云的IT解决方案,而是将整个奥运会的软件和票务系统交由法国本土IT巨头Atos负责。
而在医疗、公共服务、政府设施等关键领域,欧洲各国受到CrowdStrike事故的影响较为轻微。部分企业的金融、零售系统出现短暂的无法访问现象,但并未造成大范围的连锁式瘫痪。在大部分情况下,受到波及的只是进行信息显示的多媒体交互子系统。
02.雷德蒙德:这全是布鲁塞尔的错
尽管问题源自CrowdStrike软件更新中的错误,但对于不明就里普通用户和公众而言,这是又一次的“Windows蓝屏事故”。而各企业与机构也往往在安抚用户的沟通中,简单粗暴地把责任推到了微软公司身上。
雷德蒙德显然满腹委屈。在全球工程师团队加班加点推出hotfix更新解决故障后,一位不愿透露姓名的微软发言人本周一向华尔街时报发出抱怨:如果不是因为2009年微软被迫与欧盟达成协议,将Windows操作系统的底层核心权限开放给第三方软件厂商,本次事故原本可以避免。舆论只看到作为结果的蓝屏死机画面,就对微软系统的安全性大肆进行渲染和批评,有欠公允。
这份协议源自二十年前的一场史诗级诉讼:欧盟反垄断监管部门指控微软通过其Windows操作系统的强势市场地位,捆绑包括Internet Explorer、Office办公套件、安全工具等在内的应用软件,对其他中小软件开发商构成了不正当竞争。
2009年底,欧盟与微软达成了一揽子和解协议,停止对其进行反垄断诉讼。微软向欧盟支付近9亿欧元的巨额罚金,从Windows系统中解绑IE等可选软件,同时做出公开承诺:确保所有第三方软件产品能够取得与微软产品相同权限的互操作性(interoperability)。这意味着,第三方安全软件可以获得与微软Windows操作系统相同的安全权限,可以直接操作系统最底层内核(kernel)。
尽管这一看似公平的协议确保了微软无法在Windows操作系统中限制第三方软件的功能范围,为其他软件开发商提供了公平竞争的机会,但同时也埋下了隐患:如果在操作系统最关键底层内核运行的第三方软件中存在致命的bug,可能直接导致Windows无法自行修复错误,引起系统崩溃——正如上周的CrowdStrike事故。
更为重要的是,微软与欧盟在2009年达成的这一协议并不仅仅局限于欧盟市场,而是适用于全球范围的微软产品。
出于系统安全性的考虑,其他巨头采取的往往也是和微软之前类似的防火墙策略。如苹果公司的Mac操作系统,就对应用软件层与操作系统层进行了严格的分离。在苹果电脑上运行的第三方应用软件无法直接操作Mac系统的核心,此举虽然限制了软件开发商的权限,但确实地提升了系统的稳定性与安全性。
欧盟虽然并未对苹果公司提出类似的第三方软件互操作性要求,但是在最新的数字安全法案框架下,欧盟委员会近期也开始向苹果施加压力,包括要求其在iPhone操作系统中允许用户安装第三方应用商店等。
不过归根结底,本次CrowdStrike事故的根源来自其软件更新中的bug,以及不够严谨的软件测试与发布流程。这既不是微软、也不是欧盟所能够预料到的。
03.手握大棒的欧洲人
尽管微软方面并没有发表任何官方评论,但其高管对欧盟的私下指责显然惹怒了布鲁塞尔。就在第二天,一位匿名欧盟发言人在接受欧洲新闻台采访时回击,否认欧盟对本次事件负有任何责任,并指微软在本次事故之前从未与欧盟委员会就软件安全风险问题进行过任何沟通。
事实上,欧盟与微软之间的恩怨并未因2009年达成的协议而化解。在2013年和2014年,微软又先后向欧盟支付了总计超过10亿欧元的反垄断罚金。
欧洲市场对微软来说举足轻重:Windows平台在欧洲主要国家的占有率超过70%以上,高于北美本土。早在90年代,微软便将其很大比重的集团运营通过结构重组集中在了欧盟成员国爱尔兰,并在都柏林成立了微软欧洲运营总部。其主要目的:最大程度享受爱尔兰政府的“税收天堂”政策。通过精密的财务架构设计,在BEPS等一系列特殊避税框架下,类似微软的跨国公司们可以在爱尔兰享受0%-2.5%的超低企业所得税,合法地向股东转移从欧洲市场赚取的巨额利润。目前,微软爱尔兰子公司的年收入已占到集团全球年收入的三分之一以上。
欧盟自然不希望看到像微软这样的硅谷科技巨头们在不断蚕食本土市场的同时,又享受到低税率的好处。不过略显尴尬的是,欧洲能够与之同台竞技的科技公司可谓凤毛麟角。而近年来,来自中国的科技新贵们更是在移动互联网、人工智能等诸多领域后来居上。欧洲科技企业的生存空间正在被不断压缩。
为了保护本土IT产业,欧盟近年来不断祭出重磅监管武器:2018年起实施的GDPR通用数据保护条例(General Data Protection Regulation)、2023年生效的DSA数字服务法案(Digital Services Act)和DMA数字市场法案(Digital Marekts Act),长达数百页的法律条款和实施细则,无一不是为美国科技巨头量身定制的“紧箍咒”。
为了维持现有业务能够在不伤筋动骨的情况下继续合法经营,谷歌、Meta、亚马逊等科技公司们在权衡之后往往选择向布鲁塞尔低头,支付动辄高达数亿欧元的巨额罚金。而就在去年底,TikTok也“有幸”加入了这一行列,向欧盟缴纳了3.5亿欧元的GDPR罚款。在一众巨头之中,目前只有苹果公司尚未曾支付过来自布鲁塞尔的罚单——但这很可能也仅仅是个时间问题。
04.微软的多事之秋
而在向欧盟陆陆续续缴纳了20亿欧元学费之后,微软显然“学乖”了许多。在过去的十年里,雷德蒙德几乎没有被布鲁塞尔抓住过新的小辫子,其欧洲业务随着新冠疫情以来远程办公需求的暴涨,一路高歌猛进。而Copilot的加持,更是令微软的软件帝国如虎添翼。
但欧盟又怎么会忘记微软?
就在一个月前的6月25日,欧盟委员会向微软发出通知,指控其滥用Microsoft 365软件组合的强势市场地位,将协作办公软件Teams进行捆绑销售。欧盟官员表示,有大量证据表明,微软从2019年起就开始实行这一违反欧盟反垄断条例的商业行为,对其他协作办公软件厂商构成了不正当竞争。
向欧盟委员会提起申诉的吹哨者不是别人,正是Salesforce在疫情期间收入旗下的老牌协作办公软件Slack。
如果微软不能够自证清白,欧盟将会对其处以等同于年全球收入10%的罚款。以微软2023年的两千亿美元全球营收计算,雷德蒙德或将面对一张面值200亿欧元的天价罚单。
有意思的是,欧盟这一次对微软下手,依托的并不是GDPR、DSA、DMA等最新监管武器,而仅仅是援引了1957年签署的欧洲联盟运作条约(TFEU – Treaty on the Functioning of the European Union)中的第102条:凡企业滥用其市场支配地位的,将被视为妨碍欧盟成员国之间的贸易而被禁止。
微软的法务团队也许很难料到,欧洲人会使用一条如此陈旧的法律条款,开出有史以来最大金额的一张罚单。刚刚摆平与法国云服务巨头OVH反垄断诉讼官司的微软,又因为CrowdStrike的突发事件沦为众失之的。欧洲舆论普遍认为,正是因为微软系统的垄断地位,才使得全球IT网络安全愈发脆弱,欧洲亟需建设独立自主的数字基础设施。
而就在这样一个火烧眉毛的关键时间节点上对媒体吐槽,闹僵与布鲁塞尔的关系,可谓得不偿失。
在微软工作第15个年头的现任首席通讯官弗兰克·肖恩(Frank X. Shaw)的人生第一份工作,是在美国海军陆战队担任新闻官。那份工作他一干就是12年。就在CrowdStrike事故发生的前一天,肖恩在社交媒体上发帖写道:“朋友和家人经常问我,你的工作究竟是在做些什么?这个问题近年来愈发让我感到难以回答…… 网友们有什么好的建议吗?”
也许纳德拉是时候考虑换一个发言人了。
头图 | 企业官网
本文来自微信公众号“道欧洲(ID:Path2Europe)”,36氪出海经授权转载。
活动|迪拜商业论坛中国议程发布:深度解读D33机遇,助力企业出海迪拜
2024年8月21日,迪拜商业论坛中国(Dubai Business Forum China)将在北京开幕。本次论坛的主题为“中国、迪拜及全球市场:点燃国际贸易与投资机遇”,论坛将围绕解读迪拜 D33 经济计划展开,覆盖环保科技、电商、AI、医疗保健、可再生能源等高潜力行业议题,除了专题演讲、圆桌讨论,迪拜政商界高级别代表团将从报名通过的企业中挑选高增长的代表,匹配投资合作意向,在大会期间安排线下对接会议。欢迎扫描下方二维码,填写36氪出海的独家预约表单,申请参会席位。下方表单是本次迪拜商业论坛中国的唯一申请席位通道,请您务必填写,席位有限,欲报从速。本次活动的参会资格审核结果将由迪拜商会决定。
加入36氪出海学习交流群
目前,36氪出海学习交流群已经吸引超过14000位来自国内外初创企业、行业巨头、投资机构等出海人加入。在出海社群里,我们面向群成员挑选整理每日全球跨境资讯,帮助出海人把握最新动态;定期组织出海交流活动,链接出海生态圈,寻找潜在合作伙伴!欢迎添加36氪出海小助手微信(ID:wow36krchuhai-xzs2)申请入群,一同出海!