Úspěch firmy Huawei a její technologie pro sítě 5G vyvolávají poprask. Jenže když se na problém podíváme lépe, tak nejde o Huawei. Problémy s bezpečností začaly již před více jak 20 lety.
Problémy s bezpečností a těžko kontrolovatelnou důvěryhodností ICT začaly již před více jak 20 lety. Prostředí se rychle měnilo a přitom jsme zapoměli na několik důležitých pravidel, které jsou běžné v jiných non-IT oborech.
Dnes vidíme výsledky situace kdy SW firmy často pomáhaly utvářet názor a jednání státních organizací, protože prý odborníků je málo.
Podívejte se na případy Boeing 737MAX, DieselGate, atd. Určitě si pamatujete na rychlé postupy kontrolních orgánů a kritické články novinářů. Sami si to porovnejte s prostředím počítačů a mobilů. Porovnejte si jak se reaguje na virové útoky nebo dlouhodobé chyby v SW. Virový útok je umožněn chybou v konstrukci /architektuře operačního systému, protože systém umožní spustit cokoliv bez ověření původu.
Základ problému není v tom, z jaké země SW firma pochází, ale jak se počítačové programy vytváří, jak se testují a jakým způsobem a jak rychle se reaguje na případné chyby.
A, Programování je čistě lidská práce, ke které není nutná znalost fyziky, chemie, biologie. Co jeden člověk vytvořil může někdo jiný zdokonalit. Může to také zneužít, tedy pokud není kontrola.
Počítače, Internet, mobilní sítě nabízejí úžasné možnosti, ale už víc jak 20 let se opakují a stupňují problémy s bezpečností. Nejdříve to bylo několik zavirovaných počítačů, pak útoky na internetová bankovnictví, přišlo zneužívání chyb a zadních vrátek v operačních systémech a upravené nebo úplně falešné aplikace pro mobilní telefony.
Mnoho a mnoho let útočí počítačové viry. Naivkové, nezkušení lidé nebo naopak zruční manipulátoři obviňují jednou ruské, pak čínské nebo severokorejské hackery. Jenže virus nebo hacker může útočit především proto, že konstrukce a kontrolní mechanismy v operačním systému počítače, telefonu, auta, telekomunikačního nebo výrobního systému mu to dovolí a tyto systémy nejsou z Ruska, Číny nebo Iránu.
Pokud chceme skutečně vyřešit problémy s kyber bezpečností 5G sítí, Internetu, mobilů i počítačů, tak se musíme zamyslet nad tím proč jsme zavrhli kontrolní mechanismy běžné v non-IT prostředí a začali jsme spoléhat na názor pseudo-odborníků, kteří dokonce tvrdili, že : „Lépe to udělat nejde“. Ve skutečnosti jde vše zlepšit, tím spíš pokud je to výhradně lidská práce.
B, Zástupci IT firem a různí poradci tvrdili, že největší problém je v nezkušených uživatelích. To je výmluva. V automobilech byl problém s tím, že řidiči nepoužívali bezpečnostní pásy. Nepomohla osvěta, nepomohla represe a pokuty. Výrobci to vyřešili hlídáním zapnutých bezpečnostních pásů. Podobnou iniciativu musí převzít SW firmy.
(Podobnou iniciativu, tak to znamená, že se inspirovat. Ne že to budou kopírovat)
Zde jsou tři základní oblasti problémů, které je třeba řešit, když chceme řešit počítačovou/ kyber bezpečnost 5G sítí, ale i jakéhokoliv dalšího SW.
1, Operační systémy, aplikace a jejich bezpečnost
Obchodně nejúspěšnější je operační systém, který je děravý jak cedník. Naivní a nezkušení programátoři a konzultanti tvrdí, že jiné řešení neexistuje. Ve skutečnosti pokud někdo nezná řešení, tak to neznamená, že řešení neexistuje.
Není cíl vybudovat operační systém nebo aplikaci úplně bez chyb. Záměrem by mělo být nebo ještě lépe musí být, vytvoření takového prostředí kam není možné nainstalovat neznámou aplikaci. S tím souvisí i druhý krok, tedy kontrola zda někdo neupravil části operačního systému nebo aplikace.
To by znamenalo, že v počítači, v mobilu, v autě, v systémech v nemocnici nebo ve vojenských systémech by byly pouze části operačního systému a aplikací, které je možné ověřit, například s the Three Laws of Cyber Security nebo podle jiného pravidla.
C, Vyřešit problém s počítačovými viry a mnoha hackerskými útoky je možné. Tvorba počítačových programů je čistě lidská práce. Nejde o tak složité organismy jako je lidské tělo nebo zkoumání a pochopení DNA či vesmíru.
2, Business model sociálních sítí
Naprostá většina sociálních sítí je postavena na šmírování lidí. Pardon ono se té činnosti říká analýza informací o uživatelích pro potřeby lepšího poskytování služeb.
Případ Cambridge Analytica byla pouze pomyslná špička ledovce. Můžeme si povídat o tom jak jsou přes různé fitness aplikace sledováni jejich uživatelé. Úsměvně může vypadat situace kdy po noci strávené v restauraci při oslavě kamarádových narozenin vám ráno do e-mailové schránky přijde spam s nabídkou preparátu na odbourávání následků nadměrného pití alkoholu. Jak asi odesilatel zjistil, že jste v restauraci?
Úsměvné je to do okamžiku kdy si uvědomíte, že takto lze sledovat vojáky, zpravodajce, politiky nebo kohokoliv jiného. Navíc nevíme kdo data analyzuje a komu výsledky předá či prodá.
Pokud takový systém provozuje stát na základě jasných pravidel (zákonů, vyhlášek, atd.), tak je to nepříjemné, ale je to možnost, kterou dovolil zákon. Sociální sítě a jejich vyhodnocování chování uživatelů je mimo zákony. Pokud už jsou nějaké zákony, které by to omezovaly tak se opakovaně ukázalo, že jsou cesty jak taková omezení dokáží soukromé firmy obcházet.
Ve spojení s viry a hackerskými útoky existuje ještě jedno nebezpečí. Tím je vytváření jiného profilu a jiné historie chování a zvyklostí konkrétní osoby. Opět bez kontroly státních orgánu, vše v šedé zoně Internetu a sociálních sítí. Dokažte potom, že jste se nezajímal o chemické zbraně, radikální nacionalismus nebo jiné citlivé témata, když vše probíhalo pod vaším profilem a z vašeho počítače nebo mobilu.
To vše funguje již dnes, bez ohledu na způsob připojení.
3, Výroba na Dálném Východě
Z důvodů nižších výrobních nákladů se výroba elektroniky postupně přesunula na Dálný Východ. Tamní výrobci dostaly příležitost vyrábět moderní elektroniku a postupně se naučily novější modely i navrhovat. Od jednodušších výrobků typu varná konvice a mikrovlnka postupně přešly k televizorům, počítačům a počítačovým komponentům.
Pokud dnes vyvolává úspěch společnosti Huawei pozdvižení, tak je to špatné vyhodnocení situace. Úspěch Huawei je ukázkou úspěchu a píle. Vím, že to mnoho lidí nechce slyšet a říkají, že za tímto úspěchem jsou úzké vazby na čínskou vládu. Možná ano, možná ne. Mimochodem nemají někteří evropští výrobci letadel, železniční techniky a dalších zařízení také úzké vazby na politiky a vlády?
Dnes nevíme jestli v jakémkoliv počítačovém systému nejsou zadní vrátka, která bymohla zneužít cizí země nebo ještě hůř soukromá firma.
V minulosti nám výrobci operačních systémů i programů pro mobilní telefony ukázaly ( a dokázaly), že zadní vrátka aplikacích mají, například proto, aby se zhoršovala výdrž baterie mobilního telefonu nebo, aby si uživatel koupil novou verzi operačního systému.
Poprask okolo firmy Huawei a jejího úspěchu s technologií pro sítě 5G by měl být pro politiky, odborníky i novináře výzvou k zamyšlení a hledání skutečných řešení problémů, které s sebou přinesly počítače Internet a mobilní sítě.
Sítě 5G zvýraznily problémy, které se mnoho let odsouvaly s výmluvou, že jinak to nejde nebo, že největším ohrožením bezpečnosti IT systému jsou uživatelé.
Uživatelé nejsou největším nebezpečím pro počítačové systémy a sítě. Operační systémy a aplikace je možné vytvářet lépe než v minulosti.
Celou technologickou úroveň řešení je možné kvalitně kontrolovat. Ostatně pokud funguje kontrola léků, dětských hraček, potravin nebo náhradních dílů k letadlům, tak musí začít fungovat i kontrola dílů (ajťáci tomu říkají soubory), ze kterých se skládají operační systémy nebo aplikace. Navíc na rozdíl od léků, hraček nebo potravin půjde v případě SW o kontrolu výsledků lidské práce.
Ještě chce někdo říct, že to nejde nebo, že největší slabinou je běžný uživatel??
