Uživatel je prostě uživatel, nikoliv nejslabší článek IT bezpečnosti

  Mnoho údajných IT odborníků už víc jak 15 let opakuje frázi, že „nejslabším článkem je koncový uživatel.“ Naposledy tento argument použili pánové Schön a Valášek v Hospodářských novinách v pátek 12. řijna 2018. Jedná se o výmluvu, kterou slýchám už víc jak 15 let. Jenže skutečnost je jiná, hodně jiná.

Především programování je čistě lidská práce, ke které nejsou nutné znalosti fyziky, chemige, biologie. To tedy znamená, že řešení problémů s počítačovými viry a hackerskými útoky je nutné hledat v mizerné práci programátorů, analytiků a testerů. Jasně, že pro tuto skupinu lidí je to naprosto nepřijatelný argument. Mnohem jednodušší je stále dokola říkat, že je problém na staně uživatele.

Při návrhu mostu, automobilu nebo letadla musí konstruktéři poznat a pochopit přírodní zákony. Především se jedná o principy z oblasti fyziky a chemie. Jedná se například o roztažnost a pevnost materiálů, chemické reakce, atd. Při tvorbě software se jedná o čistě lidskou práci, ve které je možné vše jasně a jednoznačně popsat a naprogramovat.

Je to pracné a složité, ale je to možné.

Takže se znovu ptám. Proč zatím neměl nikdo zájem a odvahu jasně říci, že problém je v samotných základech operačních systémů a především, že základ problému je na straně výrobců operačních systémů ?

Pozoruji, že non-IT majitelé firem a ředitelé jsou již nespokojeni s tím, že se stále investuje do antivirových programů a do dalších, prý důležitých, bezpečnostních nástrojů, ale ve výsledku jsou firmy a jejich IT systémy stále zranitelné. Takový stav je velmi odlišný proti principům, které platí například v letectví. V letectví existují a stále se zdokonalují principy pro kontrolu výroby a údržby letadel. Podobně se zdokonaluje i kontrola náhradních dílů pro letadla.

V roce 1962 měl v Houstonu projev prezident J.F. Kennedy. V projevu „ We choose to go to the Moon“ prezident J.F.K. řekl, že USA do konce desetiletí dopraví bezpečně na Měsíc a zpět občana USA. To v roce 1969 splnil N. Amstrong a další členové posádky Apollo 11. Za osm let, od projevu prezidenta J.F.K. do přistání expedičního modulu v roce 1969 na Měsíci, museli vědci, inženýři a technici vyřešit mnoho nových úkolů z oblasti fyziky, chemie a mnoho dalších překážek, které jim nachystala příroda (vesmír). Je tedy minimálně divné, že za 15-20 let (tedy za dvojnásobek doby nutné pro přípravu letu Apollo 11) jsme se nedokázali vypořádat s počítačovými viry a dalšími problémy, které nachystali lidé – programátoři.

Je jasné, že základ problémů s útoky počítačových virů a hackerů je na straně velkých a velmi bohatých SW firem, jejichž systémy takové útoky dovolují. PR oddělení těchto firem vnutilo lidem po celém světě „jediný správný“ názor na tvorbu a odpovědnost za SW (operační systémy, aplikace).

Já osobně odmítám názor, že se bohaté SW firmy se nemají kritizovat. Navíc v případě, kdy se výsledky jejich nekvalitní práce dotýkají doslova všech úřadů, firem a lidí na této planetě. Odmítám přijmout názor, že SW firmy nemají být odpovědné za své výrobky. Absurdní je to v situaci, když uživatelé jejich operačních systémů a aplikací jsou odpovědní za své výrobky (Boeing, Toyota, Siemens, GE, Nestlé, atd, atd.).

Každá změna je na počátku odmítána. Sami se zamyslete jestli je normální pokud někdo nemusí odpovídat za svou práci a takový přístup způsobuje problémy doslova globálního charakteru. Sami se zamyslete nad tím zda skutečně chcete vyřešit problémy s IT bezpečností nebo počkáte na další hackerský útok, po kterém už možná budou umírat lidé.

Já mám v této oblasti jasno. Svůj postoj jsem shrnul do the Three Laws of Cyber Security a dalších dokumentů. Situace v IT bezpečnosti se rychle zhoršuje. To je vidět na případu aplikace Qrecorder v Google Play. Což byl program, ve kterém se navíc ukrýval škodlivý program (virus) a uživatelé si jej mohli stáhnout z oficiálního serveru společnosti Google.

Podle mne, stále ještě existuje cesta jak do prostředí IT a Internetu vrátit pocit důvěry a bezpečí.

Když nic neuděláme a dále budeme spoléhat na názory, že lépe není možné operační systémy vytvářet, tak blízké budoucnosti budeme řešit vážnější problémy než je zasahování do volebně kampaně a falešná obvinění údajných autorů hackerských útoků.

Když jsou za své výrobky odpovědní výrobci letadel, automobilů nebo potravin, tak musí být za své výrobky – operační systémy a aplikace odpovědné i softwarové firmy. Pak se rychle vyřeší problémy s počítačovými viry a hackerskými útoky.

Je ještě jeden důvod proč se vážně zamyslet nad změnou základů IT bezpečnosti. Když generace našich otců a dědů dokázali připravit a úspěšně provést přistání na Měsíci nebo postavit Vltavskou kaskádu a jaderné elektrárny, tak naše generace by se měla vypořádat s něčím, tak pozemským jako je mizerná práce tvůrců operačních systémů, která má za umožňuje útoky počítačových virů nebo hackerů.