25 июля 2024 г.

Ошибки в программном коде (bugs) встречаются ровно столько же, сколько существует само автоматизированное управление потоками данных, — по меньшей мере со времён эдисоновского телеграфа, не говоря уже об ЭВМ на радиолампах, а позже и на полупроводниковых транзисторах. К настоящему времени все успели привыкнуть, что даже самое солидное ПО частенько выводится на рынок если не полусырым, то порой с весьма значительными недоработками, — которые методично выявляют, в том числе при непосредственном участии конечных пользователей, и постепенно устраняют путём наложения программных заплаток (patch), распространяемых через Интернет.

Однако недавний конфуз с обновлением ПО американской компании CrowdStrike наглядно засвидетельствовал: в условиях, когда львиная доля предприятий и организаций полагается по сути на один и тот же комплект программных пакетов, от ОС и антивирусных до офисных и прикладных, очередной более или менее серьёзный сбой грозит неиллюзорным коллапсом на уровне стран и целых континентов. А значит, разнообразие платформ и программных решений становится жизненно важным для продолжения нормального функционирования хотя бы части инфраструктуры — в ситуации, когда другая её часть всё-таки будет поражена очередной рукотворной напастью.

Эксперты издания CRN указывают, что избавиться как от самих уязвимостей в коде, так и от загружаемых по Сети заплаток для их исправления, и от новых багов уже в этих исправлениях (что, собственно, и привело к выводу из строя значимой доли Windows-систем по всему миру 18-19 июля) на данном этапе попросту невозможно. Программы слишком громоздки, человеческие ресурсы ограниченны, и даже привлечение ИИ проблему кардинально не решает — хотя бы по причине того, что он и сам склонен галлюцинировать.

В то же время и отказаться от постоянных апдейтов нельзя, особенно в части средств информационной безопасности. Даже сырая заплатка, что надёжно закрывает свежевыявленную уязвимость в критически важном ПО — пусть и ценой сваливания всей системы в «синий экран смерти» — всё равно, строго говоря, лучше, чем оставленная непропатченной брешь, доступная для эксплуатации злоумышленниками. Дожидаться, пока программисты удостоверятся, что предлагаемый патч совершенно точно ничего ни в одной из клиентских систем не обрушит (в самой CrowdStrike, кстати, заявили, что в недоработанности их заплатки виноват оказался баг в системе валидации готового кода), — значит осознанно оставлять уязвимость открытой на неопределённый срок, когда каждая минута промедления кратно увеличивает риски.

Казусы, подобные недавнему, происходят по всему миру регулярно, разве что в меньших масштабах. Лишь по той причине, что CrowdStrike, пожалуй, единственная ИБ-компания, глобальное присутствие которой сопоставимо с таковым для Microsoft, резонанс в данном случае оказался настолько мощным. Иными словами, чем больше конечных заказчиков станут полагаться на один и тот же комплект ПО для поддержания работы своей ИТ-инфраструктуры, тем чаще и в тем бóльших масштабах грозят повторяться схожие катастрофы — сколько бы сил и средств ни тратили разработчики в попытках избежать их в дальнейшем. Закон больших чисел не обойти, — чисто статистически рост популярности любого программного пакета ведёт к повышению вероятности обнаружения в нём уязвимости.

Едва ли не единственным разумным средством борьбы с этой напастью представляется поддержание заведомо разделённого рынка ПО — от уровня ОС и выше. А значит, требуется проведение такой политики — самим ИТ-каналом продаж ли, государственными ли органами, совместными ли их усилиями, — чтобы не допускать монополизации ни по направлению систем ВКС, ни в сегменте офисных пакетов, ни в части иных программных продуктов.

Да, разумеется, это потребует дополнительных инвестиций и усилий, в том числе со стороны самих участников канала. Содержать штат специалистов по единому доминирующему на рынке комплекту «ОС + средство ИБ + офисный пакет + ВКС + почтовый клиент и браузер» — это одно, а по великому множеству доступных комбинаций этого ПО, с учётом возможных конфликтов, разрешения проблем совместимости, сопряжения отдельных пакетов для работы в общей информационной среде на предприятии заказчика — совершенно другое.

Если же продолжать стремится к оптимизации затрат за счёт сокращения доступных заказчикам вариантов построения их программных ИТ-инфраструктур, можно оказаться в ещё более неловкой ситуации, чем CrowdStrike — разославшая (в качестве моральной компенсации, надо полагать) сразу после инцидента своим партнёрам по электронной почте коды на 10-долларовые купоны Uber Eats, которые вдобавок частично оказались недействующими. Партнёры же, в свою очередь, уже потратили — и ещё несомненно потратят в ближайшие дни, если не недели — десятки тысяч человеко-часов на восстановление клиентских систем.

И это не говоря ещё о затратах самих клиентов — от госучреждений и огромных корпораций до средних и малых бизнесов, понесших 19-го июля (а многие — и в последующие дни) немалые убытки из-за сбоя в своих критически важных системах. Более того, эксперты предупреждают о новой опасности — возможном отказе напуганных заказчиков от автоматической установки обновлений ПО: мол, пусть сперва другие на себе проверят, обрушивает эта заплатка систему, или нет. Как уже отмечалось, чем дольше период экспонирования уже известной уязвимости без наложения патча, пусть даже криво написанного, — тем выше риск потерять значительно больше, если эту дыру в периметре безопасности успеют обнаружить и использовать злоумышленники.

Вести партнёрский бизнес в условиях цветущей сложности рынка ПО участникам ИТ-канала будет, вне всякого сомнения, непросто, — но и вероятность подобных казусу CrowdStrike ситуаций в таком случае значительно ниже. Как нарочно, в России сегодня складывается именно такой рынок, со множеством соперничающих вендоров программных продуктов на каждом уровне, начиная с ОС, — и потому имеет смысл не выбирать неких условных лидеров, рассчитывая, что те со временем вырастут в монополистов, а уделять всем пропорциональное достигнутой ими доле внимание. Именно тогда отечественная ИТ-инфраструктура приобретёт наибольшую устойчивость.

Источник: Максим Белоус, IT Channel News