Софтуерният срив разкрива напрежението между сигурността и конкуренцията

Авторът е професор в Tufts и създател на „

Кой е отговорен за спирането на софтуера CrowdStrike, което смъкна милиони компютри във всяка промишленост бранш по целия свят предходната седмица? Както постоянно се случва с произшествия, свързани с киберсигурността, има доста виновност за циркулиране. CrowdStrike не съумя вярно да ревизира файла на канала, който изпрати на своите клиенти, сривайки техните компютри с Windows, и също наподобява, че популяризира този файл на всички едновременно, вместо да стартира с дребен брой клиенти, с цел да разпознава всички проблеми, преди да пусне актуализацията необятно. 

Междувременно Microsoft разреши на CrowdStrike и други разработчици на трети страни да имат достъп на равнище ядро ​​до своята операционна система Windows. Ядрото на операционната система управлява целия компютър. Без това равнище на достъп актуализацията на CrowdStrike евентуално нямаше да има същото влияние. Със сигурност би било по-лесно да се поправя без ръчно рестартиране на всички наранени системи. 

Даването на подобен тип достъп на софтуерни компании до операционна система е рисково — това значи, че можете бързо да загубите надзор над компютъра си, в случай че някой от доставчиците на програмен продукт, на които разчитате, направи неточност или бъде злепоставен. Ето за какво Apple стартира да осведоми разработчиците на трети страни през 2020 година, че към този момент няма да им дава достъп на равнище ядро ​​до операционната система MacOS (а също и прекомерно евентуално за какво казусът с CrowdStrike не е засегнал устройствата на Apple). 

Но не цялата виновност е на Microsoft. Споразумение от 2009 година сред компанията и Европейската комисия изисква тя да даде на външни разработчици същия достъп до Windows, който има нейният личен програмен продукт за сигурност. Идеята беше да се даде опция на други софтуерни компании да се конкурират с Microsoft, като се подсигурява, че доста от нейните артикули и услуги са съвместими с външен програмен продукт и принадлежности. Това е почтена цел и доста разпореждания в съглашението са изцяло рационални, като да вземем за пример условието Outlook да поддържа общи календарни събития и формати за обмисляне. 

Но съглашението от 2009 година е надълбоко неправилно, като изисква от Microsoft да направи всички API или програмни функционалности, които употребяват личните си софтуерни артикули за сигурност, налични за производителите на софтуерни артикули за сигурност на трети страни. Това е наредбата, която изисква от Microsoft да даде достъп на равнище ядро ​​на компании като CrowdStrike. Докато не бъде променено, не е ясно дали Microsoft може да приложи главния урок от този неуспех и да стартира последователно да отстранява достъпа, както направи Apple преди четири години.

Освен че трансформира съглашението си с Microsoft, комисията — сходно на други регулаторите — би трябвало да помислят за рисковете от жертване на сигурността в името на конкуренцията. Технологичните компании от дълго време предизвестяват, че отварянето на прекомерно огромна част от тяхната екосистема за външни разработчици може да пристигна с цената на сигурността. Тези опасения от време на време се отхвърлят като опрощение за антиконкурентно държание, само че има някои законни взаимни отстъпки сред сигурността и конкуренцията. 

Комисията предишния месец сподели, че Apple, с цел да се съобрази със Закона за цифровите пазари на Европейски Съюз, би трябвало да улесни достъпа и изтеглянето на програмен продукт, възложен отвън формалния App Store. Това ще отвори повече конкуренция за приложения, само че може да значи, че потребителите ще изтеглят нерешителен програмен продукт, който не е тестван от Apple. 

Насърчаването на конкуренцията по този метод безусловно изисква операционните системи да бъдат блокирани, доколкото е допустимо, тъй като може да се окаже, че изтегляме програмен продукт от доста незнайни и ненадеждни разработчици. Ето за какво Apple вкара нови ограничения за сигурност на своята мобилна операционна система през януари, с цел да ограничи евентуалните вреди от неизпитан код, изтеглен на iPhone. Ето за какво регулаторите би трябвало да обмислят деликатно равнището на достъп, което упорстват софтуерните компании да дават на съперници и разработчици от трети страни.

Може би сме подготвени да пожертваме част от сигурността в името на повече конкуренция, само че в никакъв случай и при никакви условия не би трябвало да жертваме нашите компютърни ядра.