Давайте прекратим осуждать пользователей, которые тонут в бесконечном потоке патчей для заделывания дыр в некачественных продуктах. Сегодня речь идет о Microsoft, но вина лежит на всех.
В официальной реакции Microsoft на нынешнюю эпидемию криптовымогателя содержатся призывы к «срочным коллективным действиям для обеспечения онлайновой безопасности людей». Это блестящий образец попытки ввести всех нас в заблуждение.
«Использованные в атаке эксплойты WannaCrypt были списаны с эксплойтов, украденных у Агентства национальной безопасности США», — написал Брэд Смит, президент и директор по юридическим вопросам Microsoft. — За месяц до этой кражи, 14 марта, Microsoft выпустила обновление безопасности для исправления этой уязвимости и защиты наших пользователей. Поскольку это обновление защищало более новые Windows-системы и компьютеры и для его установки должна быть включена функция Windows Update, многие компьютеры в масштабе всего мира остались без этого патча. В результате больницы, частные компании, госучреждения и домашние компьютеры пострадали от вредоносного кода«.
«Эта атака демонстрирует, в какой степени кибербезопасность должна стать общей ответственностью ИТ-компаний и пользователей. Об этом аспекте говорит тот факт, что спустя два месяца после выпуска патча столь большое количество компьютеров оставалось уязвимыми», — отметил он.
Далее Смит высказал упреки АНБ. По его словам, эта атака дает еще один пример крупной проблемы, связанной с тем, что правительства стран собирают в собственных целях данные об уязвимостях. Конечно, АНБ не имеет возможности ответить на этот по существу политический аргумент.
Намек понятен? АНБ сделало плохую вещь, которой воспользовались преступники. Microsoft эту проблему уже исправила. Мы свое дело сделали, но упрямые пользователи свое дело делать не хотят.
Смит также повторил призыв Microsoft разработать цифровую Женевскую конвенцию, что созвучно призыву Австралии к выработке международных кибернорм и призыву Евгения Касперского к контролю над кибервооружениями.
В эти выходные специалисты по кибербезопасности разразились потоком порицаний в адрес жертв атаки.
В числе наиболее пострадавших организаций были больницы, в том числе многие из больниц Государственной службы здравоохранения Великобритании (NHS). Почему они не установили обновления на свои компьютеры? Почему у них ничего не архивируется?
Владелец сайта Pinboard дал в Твиттере ответы: «Я больница, а не технологическая компания, и ваши обновления портят мое ПО».
«Осуждение людей за использование старого ПО звучит странно, — добавил он. — Это, пожалуй, единственный контекст, когда от нас требуют постоянных замен вещей, которые реально работают».
Когда вы отвечаете за больницу, где полно компьютеров, передающих друг другу данные, вы не можете себе позволить обновления, которые нарушают этот процесс, потому что тем самым вы можете убить людей. Вопрос в контексте.
Другой специалист по информационной безопасности mzbat пишет: «По моему опыту работы в NASA, патчи могут (и часто это делают) приводить оптические, низкотемпературные и лазерные системы в нерабочее состояние. То же самое видимо справедливо и для больниц».
А основатель компании Rendition Infosec Джейк Уильямс отмечает: «Я категорически не понимаю людей, которые пишут, что атаки вымогателя не случилось бы, если бы больницы NHS использовали Mac или Linux. Ведь тогда они не смогли бы заниматься своим делом», потому что именно под Windows работают их специальные медицинские приборы и управляющее ПО.
Реальные организации работают в реальном мире. Перегруженные обязанностями системные администраторы работают в рамках ограниченных бюджетов. Во многих организациях, как это ни печально, необходимость постоянной готовности перевешивает безопасность.
Нет, реальная проблема здесь состоит в том, что ИТ-индустрия в целом годами продает негодные продукты. Можно сказочно зарабатывать, делая поначалу бракованные продукты и часто, прямо или косвенно, возлагая на пользователей обязанность их чинить.
Технология поставляется с таким количеством дыр, что огромную часть отрасли составляет обширный отряд хорошо обученных профессионалов, работающих изо всех сил над затычкой всевозможных протечек. И потом, когда пользователи неизбежно оступаются и тонут в этом потоке дефектов, вендоры и специалисты по кибербезопасности винят их за неумение плавать.
Неужели это этично?
Конечно, проблема не только в операционных системах. Встает и вопрос почему, например, медицинское ПО делают так кустарно.
Заявление Смита заканчивается привычным пассажем.
«Атака WannaCrypt для всех нас является звонком к пробуждению. Мы сознаем свою ответственность в реакции на этот звонок, и Microsoft считает долгом выполнить свою часть работы», — написал он.
Однако в кибербезопасности пробуждающие звонки звучат, по крайней мере, с 2007 г. Даже можно утверждать, что такие звонки начались с червя Морриса 29 лет назад, хотя в то время приставка «кибер» еще не употреблялась.
Думаю, в реальности будет справедливо сказать, что Microsoft свою часть работы не выполнила. В течение трех десятилетий фактически почти никто не выполнял свои обязанности.
«Как минимум, Microsoft безусловно должна была предоставить мартовское критическое обновление всем своим пользователям, а не только тем, кто осуществляет дополнительные платежи. По сути дела, принцип „платите дополнительные деньги или мы не предоставим критические обновления“ можно рассматривать как собственную форму вымогательства», — написала Зейнеп Туфекси в New York Times.
Она считает, что имея денежные резервы более чем в 100 млрд. долл., Microsoft в состоянии помогать организациям и пользователям в апгрейдах на более новое ПО, особенно тем, кто эксплуатирует важные сервисы. По ее словам, «отраслевые нормы кошмарно непорядочны к пользователям, и разумно ожидать, что компания с доминирующей рыночной позицией, делающая такие большие деньги на продаже ПО, которое обслуживает критические инфраструктуры, могла бы делать большее».
Совершенно верно.
Учитывая все сказанное в контексте последней волны криптовымогателей, самоуверенные поучения кибертехнарей по установке патчей и архивированию не особо полезны. Они игнорируют глубокие структурные и отношенческие проблемы, существующие в ИТ-индустрии.
Будут ли люди следовать этим инструкциям? Скорее всего, нет.
Технари верят, что для каждой проблемы имеется чисто техническое решение, соответствующее их собственному опыту. Вопреки вашим знаниям ваших собственных специфических проблем, они также считают, что ваша «неспособность» следовать их плану проистекает из того, что вы не знаете технологии.
Представьте себе, что подобные технари делают автомобили и пришла информация, что в небольших авариях автомобили могут взрываться. Решением технарей будет покрыть автомобили защитной полистироловой плиткой (которая, конечно, сможет воспламеняться), установить четырехкратно более мощный мотор и добавить 4G-подключение для вызова пожарной команды. С выбором рингтонов.
Постойте, технари уже строят автомобили. Даже больше, они закладывают свое ПО в стоимость этих автомобилей. Отлично.
В заключение примем к сведению недавние слова в интервью журналу MIT Technology Review Дженсена Хуанга, исполнительного директора Nvidia: «ПО поедает мир, но его самого поест искусственный интеллект». Здравоохранению и автоиндустрии предстоит трансформация благодаря искусственному интеллекту.
