Vakar teko dalyvauti vienos kompanijos informacijos saugumo audito pristatyme. Ten, diskusijos metu, kompanijos vadovas labai teisingai pastebėjo, kad visos IT saugumo pagrindinės bėdos atsiranda dėl to, kad programinės įrangos gamintojai savo produktuose palieka nemažai saugumo spragų. Todėl, norėdami apsaugoti savo duomenis, privatumą bei verslą, esame priversti mokėti nemažus pinigus už papildomą aparatinę ir programinę įrangą tam, kad kompensuotume ar bent dalinai eliminuotume dėl  šių spragų atsirandančias grėsmes.  

O kodėl taip yra?

Visu pirma – klysti yra žmogiška. Bet kokią programinę įranga sudaro šimtai, tūkstančiai ar net milijonai programinio kodo eilučių. Tad nereiktų stebėtis, kad ten pasitaiko klaidų, ir kuo sistema sudėtingesnė, tuo klaidų tikimybė yra didesnė. Bandomųjų versijų pateikimas vartotojams – tik dalinai gelbėja, nes tai, mano galva, lazda su dviem galais: iš vienos pusės vartotojai kažkiek padeda aptikti ir pataisyti dalį klaidų (dažniausiai funkcionalumo), iš kitos pusės – tai gera proga išsiaiškinti saugumo spragas ir pasilaikyti šią informaciją sau ateičiai.

Antra – programinės įrangos gamintojai paklūsta tokiem pat rinkos dėsniams kaip ir bet kas kitas. Todėl yra skubama kuo greičiau į rinką išmesti naują produktą ar naują versiją. Dažnai yra susitaikoma su tuo, kad po to reikės išleidinėti pataisymus, bet tai laikoma mažesne blogybe, nei rinkos praradimas. Kita medalio pusė – labiau būdinga taikomosios programinės įrangos gamintojams, dirbantiems konkrečių klientų užsakymu, saugumo analizės ir sprendimų praskipinimas projektavimo stadijoje. Tokiu būdu stengiamasi sumažinti kaštus, sutaupyti laiką ar kompensuoti bei nuslėpti atitinkamos srities specialistų trūkumą. Dažnai po to tai yra tvarkoma, bet jau kliento sąskaita, teigiant, kad tai yra papildomas funkcionalumas arba paprasčiausiai paliekama klientui su ta bėda tvarkytis pačiam.

Kas belieka mums?

O mums belieka ir toliau pirkti antivirusines ir panašias programas, ugniasienes, turinio analizės ir kitokias apsaugos sistemas vien tam, kad pridengtume gamintojo broką. O gal reiktų ir IT srityje pereiti prie normalių gamintojo, pardavėjo ir pirkėjo santykių, kur galioja vartotojo teisių saugos mechanizmai, kai už brokuotą prekę ar paslaugą grąžinami pinigai ar taikomos nuolaidos ir kompensacijos, o ne laukiama gamintojo malonės, kada jis teiksis ištaisyti savo klaidas?