身处移动互联网时代,网络安全成为重要议题,不仅牵涉个人,而且也是衡量国家安全和社会稳定的重要指标。
但是阿里云显然没有充分认识到这一点:在发现高危漏洞Log4j2时,阿里云第一时间通知了美国软件开发方阿帕奇(Apache),反倒是把我国工信部抛之脑后。最近,工信部宣布:将暂停和阿里云的合作,6个月后视阿里云表现再议是否“再续前缘”。
这到底是怎么一回事呢?
众所周知,美国对我国科技崛起一直十分忌惮,为了打压我国科技发展,先是封锁华为,后又把34家中企加入“黑名单”,在这种环境下,阿里云此举很难不让人起疑心。
要知道的是,阿里云是国内顶流云服务商,其市场占有率高达40%左右,直逼华为云和腾讯云两者的总和。另外,阿里云提供的服务涉及到制造、金融、医疗、电信、政务、交通等众多领域和众多企业,像12306、中国联通、中国石化等大型企业都和它有长期合作。可以说,阿里云的版图之大,关乎着国计民生,这样一家企业,必须充分认识到自己肩负的责任之重。
但是在这次事件中,阿里云“明知故犯”,瞒着不报,险些酿成大错。
11月24日时,阿里云就发现了CVSS评分达到最高级的高危漏洞Log4j2,并且第一时间告知了美国软件开发方Apache开源社区。
其实,向软件开发商上报漏洞无可指责,但是阿里云错就错在没有上报给网信部。
早在今年7月,《关于印发网络产品安全漏洞管理规定的通知》正式下发,其中规定,如果发现安全漏洞,要立即通知产品提供商,并且在两天之内,告知工信部的网络安全威胁和漏洞信息共享平台。阿里云11月24日发现了漏洞,网信部到了12月9日才通过公开报道的新闻得知。网络安全拼的就是速度,网信部知道的时候,已经过去了15天。
要知道的是,Log4j2漏洞的CVSS评分高达10分,严重程度是最高级。这么说大家可能觉得抽象,不如给大家举个例子:2017年,WannaCry勒索病毒席卷全球,它通过漏洞“永恒之蓝”高速传播,超过150个国家的基础设施、学校、社区、企业被重创,大约有30万用户受到影响,总计造成了80亿美元的经济损失。而这次的Log4j2漏洞,比WannaCry严重得多,攻击者只需要提交一段代码,就能黑入服务器。再简单点,如果阿里被攻击,支付宝里的钱,安不安全就不好说了。
也正因问题的严重性,工信部点名批评阿里云:不仅摘掉了阿里云官方合作单位的名号,还暂停了与阿里云的合作,6个月后合作与否,还得根据阿里云的表现决定。
实际上,这并不是阿里云第一次挨批评,之前阿里云就因为涉及兜售用户信息给第三方,被用户多次投诉。
有滴滴这个前车之鉴,将7亿用户信息和我国道路信息兜售给美国,从去年6月至今依然在调查中,阿里云应该引以为戒,毕竟阿里云一直是阿里的希望,在科创和营收两方面,都是阿里的“顶梁柱”。
在科创方面,阿里云自主研发的“飞天”操作系统能把百万级的多个服务器连接到一台电脑上,为用户提供高速运算,这个系统也成为了最世界顶尖的系统之一;还有在不久之前,国际知名咨询机构Gartner发布了最新的报告,阿里云超过了亚马逊、微软等对手,一举拿下计算、储存、网络和安全四个领域的第一。在营收方面,阿里虽然业绩不断下滑,但阿里云的表现却十分亮眼,2020年营收超过600亿,仅仅是今年第三季度,阿里云就为阿里创下了超200亿的营收,2021全年有望突破800亿。
不知道这次出现的纰漏,将会给阿里云带来什么样的打击,不过,就像人民日报说的,中国从来没有所谓的大而不倒的企业,只有把国家和人民的利益放在心上,企业才能长远发展;如果一个企业没有责任心,那做得再大,我们也不需要。
