Felfrissített egy régi lemez az USA kiberbiztonsági és infrastruktúra-biztonsági ügynökségének vezetője. Jen Easterly, aki 2021 óta tölti be a CISA igazgatói pozícióját, a Mandiant konferenciáján azt taglalta, hogy valójában a kibertér legveszélyesebb "rosszfiúi" azok a szoftvergyártók, akik biztonsági rések sokaságával dobják piacra szoftvereiket.

Ez amúgy régóta akkut probléma. Egy pletyka szerint a legendásan stabilnak és biztonságosnak tartott 4-es Windows NT-t annak idején úgy adták ki, hogy a fejlesztők is tudták: több ezer hibát, köztük több tíz kritikus sérülékenységet tartalmaz. De hát a tőzsdének akkor is nagyobb volt a kényszerítő ereje, mint annak, hogy biztonságos kódot kapjanak az ügyfelek.

Easterly szerint az sem igazán szerencsés, hogy az azonosított rosszindulatú csoportokat mindenféle poétikus nevekkel illetik. Ehelyett inkább olyan neveket kellene adni nekik, mint például "Vézna Kártevő" vagy "Gonosz Görény". Egyébként a biztonsági rések sebezhetőségnek nevezése is félrevezető eufemizmus, mert elkeni a felelősséget. Ráadásul a legtöbb esetben a közvélemény az áldozatokat hibáztatja, mert nem telepítették elég gyorsan a patch-eket. Azt a kérdést azonban senki sem teszi fel, hogy miért is lenne szükség az állandó készültségre. Netalán épp azért, mert nem követlejük meg a gyártóktól a gondosabb munkát?

A szoftverek kódjának gyenge minősége ezermilliárd dollár nagyságrendű kiberbűnözési problémát generál – természetesen a felhasználóknak –, és nem mellesleg munkát ad a sokmilliárdos kiberbiztonsági iparágnak. A felhasználói hozzáállás helytelenségét Easterly egy analógiával próbálta megvilágítani: senki sem vásárolna autót vagy szállna fel egy repülőgépre kizárólag a saját felelősségére; a szoftvereknél ugyanezt nap mint nap bevállaljuk, még a kritikus infrastruktúrák esetében is.

Az igazgató szerint valójában nem kiberbiztonsági, hanem szoftverminőségi problémákról kellene beszélni, azaz nem még több biztonsági termékre, hanem biztonságosabb szoftverekre lenne szükségünk.

A másik oldal

Persze a kérdés közel sem fekete-fehér. Ha triviális feladat lenne hibátlan kódot írni, akkor valószínűleg sokkal kevesebb lenne a sérülékenység. Egyes fejlesztők valóban trehányak, vagy egyszerűen nem tudnak megoldani bizonyos kódolási problémákat, ezért áthidaló megoldásokat alkalmaznak (azaz gányolnak), amivel sérülékennyé teszik a szoftverüket. Még a legfelkészültebb és legjobb szándékú fejlesztők is hibáznak. (Ezt egyébként Jen Easterly is elismeri, csak szerinte ez még nem indokolna annyi szoftverhibát, amennyivel a felhasználóknak nap mint nap szembesülniük kell.)

A szoftvergyártók újra és újra nekirugaszkodnak, hogy javítsák termékeik biztonsági szintjét. De hogy mennyire nem kézenfekvő a megoldás, jól mutatja a Docker egy idei kutatása. Egyfelől a piac igyekszik kikényszeríteni a biztonság magasabb szintjét, miáltal a fejlesztők – amúgy helyesen – egyre inkább bevonódnak a biztonsági problémák megoldásába. Ám van egy másik kényszer is – és szintén a felhasználói oldalról –: az üzleti igények minél gyorsabb kielégítése. A gyorsaság és a biztonság azonban az informatikai hosszú történetet alatt sem lettek barátok, és minél nagyobb a gyors innováció kényszere, annál kevésbé van lehetőség a két igény összebékítésére.

Úgy tűnik, a legjobb, amit ma el lehet érni, hogy a piac meghatározó szereplői önként vállalják: erőfeszítéseket tesznek szoftvereik biztonságának javításáért. Idén májusban rendezett RSA konferencián például közel 70 cég írta alá a CISA Secure by Design nyilatkozatát, amelyben vállalják, hogy mérhetően javítják szoftvereik biztonságát a CISA ajánlásaival összhangban.

A felhasználók pedig reménykedhetnek, hogy ez nem csak churchilli statisztikai eredményeket hoz.

A téma az október 29-ei CIO Budapesten is terítékre kerül. Egy panelbeszélgetésen DevSecOps szakértők vitatják meg a gyorsan változó üzleti igények és a biztonság összehangolásának lehetőségeit. Részletek és jelentkezés a CIO Budapest oldalán.