名家筆陣:漏洞彩金大勢所趨

產品設計和研發是讓一家企業可以繼續在市場生存、佔據市場份額的一種方法和手段,在未來競爭激烈環境下,科技上的突破和應用是一個趨勢。

科企歡迎黑客入侵

不過,這個趨勢說的是愈來愈專精的科技,產品的精密程度更專門,不是一般使用者可理解,特別是一些有關資訊科技的產品,一旦產品出現漏洞,被黑客侵入攻擊,除會對產品用戶造成影響外,生產的企業更可能承受法律責任,故不少企業投放資源堵塞產品漏洞。

有些企業會獎賞用家,如第一個發現產品漏洞的人可獲獎金,目的是利用企業以外的資源去優化產品質量,有些科技公司甚至歡迎黑客入侵,冀以獎勵黑客來優化產品質量。

蘋果公司最近宣布,該公司會獎勵報告產品漏洞的黑客,決定令人矚目,因之前該公司一直沒有參加這種「漏洞彩金」(Bug Bounty)的遊戲,套用蘋果公司安全工程與架構的負責人所言,現要企業內部人員發現產品的關鍵安全漏洞已是愈來愈難,蘋果公司實行漏洞彩金制度,可讓該公司向通報關鍵漏洞的人發放獎金,達到找出科技漏洞目的。

藉此優化產品質量

推行漏洞彩金制度的科技公司並不少,過去數年間微軟等科技龍頭企業,共支付數以百萬美元計的漏洞彩金,也見證黑客入侵對科技企業的風險。除科技公司提供漏洞彩金以鼓勵找出產品漏洞外,這個誘因也漸被應用在其他產品,特別是科技應用的產品上。

當中汽車生產行業是一個很好的例子,近年汽車愈來愈依賴微電腦和軟件操控,不少的汽車功能都和科技扯上關係,對汽車生產企業而言,它們是引入高科技產品的用家,但對車主來說,若汽車發生問題,汽車生產商脫不了關係,不能以微電腦和操縱軟件是外購零件,便可將產品責任推得一乾二淨,因若有意外,生產商法律責任可以很大。

漏洞彩金制度也在汽車業出現,一些大型汽車生產企業如特斯拉、快意、佳士拿和通用汽車,均提供漏洞彩金,鼓勵外面人士找出產品漏洞。

漏洞彩金制度也應用在不少行業,一些企業甚至會聘用外面黑客,專門測試其企業網絡安全,網上預約汽車服務企業優步就是一個較為人熟悉的例子。

蘇偉文

恒生管理學院商學院院長兼金融學教授,主要研究興趣為國際金融、金融市場及公司管治,在國際著名財務會議及期刊已發表多篇論文,並著有多本作品。

作者:蘇偉文