Bez presji nie ma bezpieczeństwa

Nieco ponad dekadę temu wieszano psy na Microsofcie za poziom bezpieczeństwa produktów tej firmy. Jednymi z najostrzejszych krytyków byli młodzi ludzie, jak Ci, którzy założyli Google. Dzisiaj Microsoft może być wzorem do naśladowania dla firm takich, jak wyszukiwarkowy gigant.

Obecna sytuacja jest jednocześnie smutna i ironiczna. Pokazuje również, że jeśli nie rozumie się przyczyn jakiegoś zjawiska, nie jesteś się w stanie samemu uniknąć później tych samych błędów. To fascynujące, że firma prowadzona przez ludzi, którzy narzekali na Microsoft za niewystarczający poziom bezpieczeństwa, obecnie sama idzie w złym kierunku. Okazuje się jednak, że przeciwieństwem dobrych zabezpieczeń nie są złe zabezpieczenia, lecz brak motywacji do ich wdrożenia. Jeśli prezes wpada w śmiech, gdy mówi się o bezpieczeństwie produktów, pojawia się problem.

Wróćmy jednak na chwilę do tego, dlaczego Microsoft miał problem z bezpieczeństwem i dlaczego jest to poważna kwestia dla dzisiejszej generacji firm budujących społeczności internetowej. Początkowo bezpieczeństwo było zadaniem kogoś innego. Microsoft koncentrował się więc na takich aspektach, jak łatwość użytkowania, co z reguły stało w sprzeczności z bezpieczeństwem. Ten konflikt można wyraźnie obserwować na przykładzie wielu firm oferujących oprogramowanie antywirusowe oraz narzędzia do zarządzania dostępem. Tak więc Microsoft tworzył oprogramowanie łatwe w obsłudze, a specjaliści od bezpieczeństwa tworzyli do niego zabezpieczenia. Miało to jednak negatywne skutki, m.in. prowadziło do wyraźnego spadku szybkości działania systemu.

Zobacz również:

Gdyby była to relacja symbiotyczna, mogła by nadal dobrze funkcjonować. Jednakże firmy produkujące zabezpieczenia, aby dobrze prosperować, potrzebowały od Microsoftu platformy, która nie była bezpieczna. To pozwalało na marketing własnych produktów. Mniej uczciwi posuwali się nawet do samodzielnego tworzenia exploitów, aby jeszcze uwiarygodnić swój przekaz. Przy rzeczywiście niewystarczającym poziomie zabezpieczeń dodatkowe obrzucanie błotem przez firmy zajmujące się bezpieczeństwem tylko dolewało oliwy do ognia i zachęcało coraz większą liczbę osób do atakowania systemów Microsoftu. Gdy te czynnik zaczęły powodować spadek sprzedaży produktów Microsoftu, producent ocknął się i zmienił swoją postawę na bardziej aktywną w obszarze bezpieczeństwa.

Bezpieczeństwo to nie zabawa

Tworzenie zabezpieczeń wymaga specjalizowanych umiejętności. To powoduje, że ludzie od bezpieczeństwa mają tendencję do zamykania się w swoim środowisku i niechętnego spoglądania na grupy zajmujące się tworzeniem produktów. Warto w tym miejscu wspomnieć, że kwestia kontroli jakości znajduje się w podobnym, niewdzięcznym położeniu i jest postrzegana jako zawalidroga utrudniająca wprowadzanie nowych produktów. Znane są przypadki firm, które wręcz zrezygnowały z kontroli jakości, uznając ten obszar za zbędny i uciążliwy. Jednak klienci szybko dawali wyraz, co sądzą o tak powstałych produktach.

Gdy przedsiębiorstwo dojrzewa, szczególnie w obszarze korporacyjnym, z reguły zaczyna pojmować, że bezpieczeństwo jest równie ważne, co jakość. Co istotne, w świadomości klienta te dwa pojęcia często są ze sobą splecione. Jeśli obu tych obszarów nie uczyni się integralną częścią tworzenia oprogramowania, drastycznie wzrasta ryzyko popełnienia fatalnego błędu.

Unikalny problem Google

Powodem, dla którego Google rozminął się z bezpieczeństwem jest podobny, jak w przypadku Microsoftu: firma skupiła na funkcjonalności produktów. Koncern jednak nie spieszy się, aby zająć się problemem bezpieczeństwa, ponieważ swoje produkty rozdaje za darmo. Dlatego nie czuje takiej presji, z jaką musiał zmierzyć się Microsoft. Przychody pochodzą głównie z reklam, a nie ze sprzedaży. Tak jest również w przypadku systemu Android.

Google po prostu nie ma finansowej motywacji, która występuje w typowym modelu sprzedaży, aby zająć się problemem bezpieczeństwa. W ostateczności problemy z bezpieczeństwem mogą doprowadzić do sankcji rządowych czy uszczerbku na zdrowiu użytkowników (w kontekście opracowywania samochodu bez kierowcy). Dopiero te ekstremalne zdarzenia mogą sprawić, że firma umieści bezpieczeństwo wśród swoich pierwszoplanowych priorytetów.

Kiedy założyciele Google kończyli swoją edukację i prawdopodobnie narzekali, zresztą słusznie, na bezpieczeństwo systemu Windows, raczej nie zdawali sobie sprawy, jakie były przyczyny tego stanu rzeczy. Nie mogli więc uniknąć problemów z bezpieczeństwem, ale, według wielu ocen, stworzyli platformę jeszcze bardziej podatną na ataki. Wprawdzie młode firmy skupiają się na taktycznym działaniu, ale wydaje się, że nawet one nie powinny powtarzać dobrze znanych błędów. Tymczasem taka sytuacja nie należy do rzadkości, a wynika z faktu, że ludzie często nie pytają, dlaczego coś miało miejsce.

Aby uniknąć problemu, należy zarówno zrozumieć jego przyczyny oraz to, czy kiedykolwiek został naprawiony. Firmy działające zgodnie z koncepcją Net Promoter Scores (NPS) z reguły szybciej zajmą się problemem niż te, które czerpią przychody ze sprzedaży. Te z kolei będą reagowały szybciej od firmy, które reagują tylko w przypadku odpowiedzialności prawnej czy katastrofalnych skutków swoich zaniedbań.

Istotnym wnioskiem z tych rozważań jest dostrzeżenie więzi pomiędzy bezpieczeństwem i jakością. Tak jak nigdy nie należy zaniedbywać starań o jakość produktu, tak samo nie należy lekceważyć kwestii bezpieczeństwa. Microsoft odrobił ciężką lekcję, że kwestii bezpieczeństwa nie należy powierzać komuś z zewnątrz. Warto przyswoić sobie wnioski z tej lekcji niż nabywać je na drodze własnych doświadczeń.


TOP 200