Existuje řešení chyb podobných CrowdStrike nebo je to sci-fi?
Chyba v aktualizaci antiviru CrowdStrike způsobila problémy mnoha velkým a významným firmám po celém světě. Jasně to ukázalo na slabiny světa IT a tvorby software. Dlouho tvůrci programů a hlavně různí konzultanti tvrdili, že to lépe udělat nejde. Samozřemě, že to jde.
Musí se chtít, musí být skutečný zájem problém vyřešit.
Tvorba software je výhradně lidská práce (AI takovou práci zefektivňuje). Nejsou tam žádné neprobádané oblasti jako v biologii, fyzice nebo chemii. Programování je čistě lidská práce, kterou je možné jasně popsat a kontrolovat.
Jistě někteří konzultanti namítali a stále zkoušení odporovat s argumentem, že je to moc složité. I přistání na Měsící bylo také složité. Zkonstruovat, vybudovat a provozovat atomovou elektrárnu je také velmi složité. Navíc tam musíte mít rozsáhlá znalosti z fyziky a chemie. Přesto jaderné elektrárny fungují a budou se stavět další. V oblasti jaderné energetiky fungují a zdokonalují se skutečně funkční kontrolní mechanismy, žádné presentace v PowerPointu.
Hlavní překážkou při řešení problémů v software byl a stále je přístup velkých softwarových firem, resp. konkrétních lidí v těchto firmách. V případě letadel, automobilů nebo potravin jsou v Evropě, v USA a v dalších zemích kontrolní autority. V případě software velmi dlouho určovali pravidla velcí hráči, tzn. velké softwarové firmy. Jenže případ CrowdStrike ukazuje, že stačí jedna chyba v aktualizačním souboru a ta spustí lavinu obrovských problémů v prostředí IT (SW), ale i v ne-počítčovém světě, kde jsou lidé pouze uživateli počítačů a jejich hlavní prací jsou jiné úkoly (péče o pacienty, odbavování letadel, železniční provoz, atd.).
Už před velmi dlouhou dobou, když jsem vyšetřoval jeden z prvních případů vykradených bankovních účtů přes internetbanking, jsem upozorňoval, že běžní uživatelé nejsou schopni si za všech situací zabezpečit svůj počítač nebo mobilní telefon. To později potvrdily i případy, kdy byly přes sofistikovaný software napadeny počítače a bankovní účty majitele SW firmy a programátora. Síla PR softwarových firem a bank byly silnější než mé argumenty. Situace se nezměnila a čas plynul.
V letech 2011 – 2014 jsem dělal analýzy slabin v operačních systémech a prohlížečích. Na analýzách bylo nejvážnější zjištění, že v operačních systému Windows byly chyby společné pro verzi 8 (8.1) i staré verze 7, XP a dokonce i 2000. Co to znamenalo? Znamenalo to, že výrobce operačního systému neaktualizuje své zdrojové kódy a slabiny, zadní vrátka, se přenášejí z verze do další verze. Reakce byla podobně odmítavá, jako v případě vykradených bankovních účtů.
Bohužel na způsobu řešení mnoha cyber security problémů je vidět, že tvůrci cyber security norem v EU jdou sice správným směrem, ale zvolili špatnou cestu. Téměř 20 let bylo zaměřeno především na uživatele, maximálně na provozovatele síťové infrastruktury. S argumentem, že jinak to dělat nejde, se minimum pozornosti a minimum tlaku zaměřilo na tvůrce operačních systémů a dalších aplikací. Samozřejmě, že tlak na výrobce software je možný a je velmi důležitý. Stačí si vzpomenout na kontrolu práce ve firmě Boeing nebo kontrolu motorů VW.
Ztráty způsobené mizerně otestovanou aktualizací už teď podle odhadů přesahují miliardu dolarů. To jsou částky, za které by se nechalo udělat mnoho dobrého v oblasti skutečné cyber bezpečnosti, kontroly výrobců software a obecně prevence.
Už v minulosti jsem slýchal a to především od různých IT konzultantů názory, že jinak, rozumějte lépe, to dělat nejde. Že si máme na výpadky zvykat. Podle mých zkušeností odborníka na zabezpečovací systémy v dopravě a průmyslu (Cyber bezpečnost přišla až později po roce 1998) je samozřejmě možné vývoj, aktualizace i provoz operačních systémů a dalších aplikací dělat lépe a bez fatálních výpadků. Ostatně provoz jaderných elektráren a podobných důležitých provozů je toho důkazem.
Stačí relativně málo. Stačí nespokojovat se s argumenty, nepodléhat PR síle miliardářů, kteří vlastní velké softwarové firmy a trvat na náročné kontrole podobně, jako v případě letadel, potravin a dalších výrobků.
Je to možné. Tvorba operačních systémů a dalších aplikací je pouze lidská práce, nejsou tam žádná neprobádaná místa jako v biologii, chemii nebo dalších přírodních vědách.
Tlak běžných uživatelů, novinářů, CEO velkých non-IT firem, bank a politiků pomůže rychle vyřešit základní nedostatky při vývoji a aktualizaci operačních systémů a dalších aplikací. V opačném případě dříve nebo později přijde mnohem větší a závažnější výpadek než byl problém CrowdStrike.
Samotřejmě, že to vyřešit jde, programování je lidská práce.
Jiří Nápravník
Bartošovo IT dobrodružství a zapomenuté přechodné období
Tématem letošních prázdnin je vydávání stavebního povolení v novém informačním systému stavebního řízení (ISSŘ). Nový zákon počítá s přechodným obdobím. Podobně o tom informovala ČKAIT a Obecniportal.cz
Jiří Nápravník
K čemu je dětem škola ?
Za pár dnů začíná školní rok. To je i důvod bavit se víc o školství a jeho podobě. Když se chceme bavit o podobě vzdělávání, tak bychom měli mít nejprve jasno, proč a pro koho by se naše děti měly učit.
Jiří Nápravník
Proč jsme se stali EU lenochy? Místo čísel je nutné si přiznat co jsme dělali špatně.
Česko potřebuje zvýšit produktivitu práce, ale když se má situace zlepšit, tak si musíme přiznat kde byla chyba, spíš chyby, které způsobily, že se vytratila iniciativa, chuť věci posouvat dál a dělat lépe.
Jiří Nápravník
Žádná energetická krize! Ve skutečnosti lež premiéra a spekulace na burze
Premiér Fiala a vláda od počátku roku 2022 stále mluví o energetické krizi v ČR. Žádná energetická krize tady nebyla a není. Všechny ty řeči okolo elektřiny měly zakrýt obrovské spekulace na burze s komoditními deriváty.
Jiří Nápravník
„Nemocný muž“ Česko? Základ řešení je v poučení se z minulých chyb
Současné problémy české ekonomiky a státu se hromadily, neřešily a odsouvaly dlouhé roky. Došli jsme tak daleko, že mnoho neefektivností, „standardizovaných“ postupů či doslova hloupostí je pro mladší generaci normální práce.
Další články autora |
Tisíce lidí v Opavě opouští domovy. Voda odřízla i sever Olomouckého kraje
Sledujeme online Velká část Česka čelí kvůli extrémním srážkám záplavám. Moravskoslezský a Olomoucký kraj vyhlásily...
Druhý den povodní: voda řádila v 11 krajích, lidé prchali, katastrofa na Jesenicku
Velká voda v neděli zasáhla většinu Česka. Nejhorší situace byla na Jesenicku, řeka tam smetla domy...
V Praze se srazily vlaky, zraněno 35 lidí. Strojvůdce byl opilý, druhý v zácviku
V pražské Libni se ve středu ráno srazily dva osobní vlaky. To si vyžádalo 35 zraněných, nikdo však...
Extrémní deště, silný vítr, na jihu Čech až stoletá voda. Řeky začaly stoupat
Sledujeme online Meteorologové v novém modelu potvrdili vysoké srážkové úhrny na českém území v nejbližších třech...
Litovel spláchla vlna. Město je zcela uzavřené, voda pozvolna klesá
Do Litovle na Olomoucku v neděli večer dorazila očekávaná záplavová vlna. Voda z řeky Moravy v...
Republikánská léčba Číny. Jestřábi ordinují demokratizaci s lidskou tváří
Premium Pokud Američany zajímá některý ze segmentů zahraniční politiky, je to bezpochyby Čína. A...
Romové si stěžují na přístup úřadů, mají doložit nárok na pomoc po povodni
Někteří Romové v Ostravě si stěžují na údajný nerovný přístup úředníků a neochotu vyplácet jim...
Znovuzrození jádra? Microsoft bude napájet AI z nechvalně proslulé lokality
Společnost Microsoft našla způsob, jak se vypořádat s rostoucí energetickou spotřebou, kterou...
Salviniho dohnala blokáda lodi s migranty. Ti nyní chtějí milionové odškodné
Italskému vicepremiérovi a šéfovi protiimigrační strany Liga Matteovi Salvinimu hrozí kvůli...
Podzim bez nachlazení? Rozdáváme ImuBerin na podporu imunity ZDARMA
Návrat do školy či práce, spojený s výkyvy teplot, může oslabit náš organismus. Ale co kdyby to letos bylo jiné? Zapojte se do testování a...
- Počet článků 71
- Celková karma 18,39
- Průměrná čtenost 1768x
Prvního hackera jsem vypátral v roce 1999, prvního vykradače bankovních účtů přes internetová bankovnictví v roce 2002.