Existuje řešení chyb podobných CrowdStrike nebo je to sci-fi?

Chyba v aktualizaci antiviru CrowdStrike způsobila problémy mnoha velkým a významným firmám po celém světě. Jasně to ukázalo na slabiny světa IT a tvorby software. Dlouho tvůrci programů a hlavně různí konzultanti tvrdili, že to lépe udělat nejde. Samozřemě, že to jde.

Musí se chtít, musí být skutečný zájem problém vyřešit.

Tvorba software je výhradně lidská práce (AI takovou práci zefektivňuje). Nejsou tam žádné neprobádané oblasti jako v biologii, fyzice nebo chemii. Programování je čistě lidská práce, kterou je možné jasně popsat a kontrolovat.

Jistě někteří konzultanti namítali a stále zkoušení odporovat s argumentem, že je to moc složité. I přistání na Měsící bylo také složité. Zkonstruovat, vybudovat a provozovat atomovou elektrárnu je také velmi složité. Navíc tam musíte mít rozsáhlá znalosti z fyziky a chemie. Přesto jaderné elektrárny fungují a budou se stavět další. V oblasti jaderné energetiky fungují a zdokonalují se skutečně funkční kontrolní mechanismy, žádné presentace v PowerPointu.

Hlavní překážkou při řešení problémů v software byl a stále je přístup velkých softwarových firem, resp. konkrétních lidí v těchto firmách. V případě letadel, automobilů nebo potravin jsou v Evropě, v USA a v dalších zemích kontrolní autority. V případě software velmi dlouho určovali pravidla velcí hráči, tzn. velké softwarové firmy. Jenže případ CrowdStrike ukazuje, že stačí jedna chyba v aktualizačním souboru a ta spustí lavinu obrovských problémů v prostředí IT (SW), ale i v ne-počítčovém světě, kde jsou lidé pouze uživateli počítačů a jejich hlavní prací jsou jiné úkoly (péče o pacienty, odbavování letadel, železniční provoz, atd.).

Už před velmi dlouhou dobou, když jsem vyšetřoval jeden z prvních případů vykradených bankovních účtů přes internetbanking, jsem upozorňoval, že běžní uživatelé nejsou schopni si za všech situací zabezpečit svůj počítač nebo mobilní telefon. To později potvrdily i případy, kdy byly přes sofistikovaný software napadeny počítače a bankovní účty majitele SW firmy a programátora. Síla PR softwarových firem a bank byly silnější než mé argumenty. Situace se nezměnila a čas plynul.

V letech 2011 – 2014 jsem dělal analýzy slabin v operačních systémech a prohlížečích. Na analýzách bylo nejvážnější zjištění, že v operačních systému Windows byly chyby společné pro verzi 8 (8.1) i staré verze 7, XP a dokonce i 2000. Co to znamenalo? Znamenalo to, že výrobce operačního systému neaktualizuje své zdrojové kódy a slabiny, zadní vrátka, se přenášejí z verze do další verze. Reakce byla podobně odmítavá, jako v případě vykradených bankovních účtů.

Bohužel na způsobu řešení mnoha cyber security problémů je vidět, že tvůrci cyber security norem v EU jdou sice správným směrem, ale zvolili špatnou cestu. Téměř 20 let bylo zaměřeno především na uživatele, maximálně na provozovatele síťové infrastruktury. S argumentem, že jinak to dělat nejde, se minimum pozornosti a minimum tlaku zaměřilo na tvůrce operačních systémů a dalších aplikací. Samozřejmě, že tlak na výrobce software je možný a je velmi důležitý. Stačí si vzpomenout na kontrolu práce ve firmě Boeing nebo kontrolu motorů VW.

Ztráty způsobené mizerně otestovanou aktualizací už teď podle odhadů přesahují miliardu dolarů. To jsou částky, za které by se nechalo udělat mnoho dobrého v oblasti skutečné cyber bezpečnosti, kontroly výrobců software a obecně prevence.

Už v minulosti jsem slýchal a to především od různých IT konzultantů názory, že jinak, rozumějte lépe, to dělat nejde. Že si máme na výpadky zvykat. Podle mých zkušeností odborníka na zabezpečovací systémy v dopravě a průmyslu (Cyber bezpečnost přišla až později po roce 1998) je samozřejmě možné vývoj, aktualizace i provoz operačních systémů a dalších aplikací dělat lépe a bez fatálních výpadků. Ostatně provoz jaderných elektráren a podobných důležitých provozů je toho důkazem.

Stačí relativně málo. Stačí nespokojovat se s argumenty, nepodléhat PR síle miliardářů, kteří vlastní velké softwarové firmy a trvat na náročné kontrole podobně, jako v případě letadel, potravin a dalších výrobků.

Je to možné. Tvorba operačních systémů a dalších aplikací je pouze lidská práce, nejsou tam žádná neprobádaná místa jako v biologii, chemii nebo dalších přírodních vědách.

Tlak běžných uživatelů, novinářů, CEO velkých non-IT firem, bank a politiků pomůže rychle vyřešit základní nedostatky při vývoji a aktualizaci operačních systémů a dalších aplikací. V opačném případě dříve nebo později přijde mnohem větší a závažnější výpadek než byl problém CrowdStrike.

Samotřejmě, že to vyřešit jde, programování je lidská práce.