Czekając na nieuniknione

W perspektywie kilku, kilkunastu lat nadejdzie dzień, kiedy systemy komputerowe będą bezpieczne. Będzie to konsekwencją katastrofy na niespotykaną skalę.

W perspektywie kilku, kilkunastu lat nadejdzie dzień, kiedy systemy komputerowe będą bezpieczne. Będzie to konsekwencją katastrofy na niespotykaną skalę.

Konserwatywne prognozy ekspertów zajmujących się bezpieczeństwem komputerowym mówią, że w 2010 r. zostanie zidentyfikowanych ok. 100 tys. błędów w oprogramowaniu. Oznacza to, że co pięć minut będzie odkrywana nowa dziura. Liczba włamań lub bardziej ogólnie zdarzeń czy incydentów sięgnie 400 tys. rocznie, ok. 8 tys. w standardowym tygodniu pracy.

Kod Windows do tego czasu przekroczy 100 mln linii, a przeciętny PC będzie kosztował mniej niż 100 USD. Będzie na nim zainstalowane oprogramowanie składające się z blisko 200 mln linii kodu, wśród których będzie 2 mln błędów. Do 2010 r. liczba internautów się podwoi. Pewna ich część będzie z pewnością żywotnie zainteresowana, by wykorzystać dowolny spośród tych błędów do swoich celów.

Dobra wiadomość? Eksperci przekonują - nigdy do tego nie dojdzie. Ich zdaniem pomiędzy dniem dzisiejszym a rokiem 2010 liczba błędów w oprogramowaniu przestanie rosnąć, a może nawet zacznie spadać, aplikacje natomiast staną się mniejsze i prostsze. Także zebrane dotychczas doświadczenia pozwolą skuteczniej walczyć z rosnącą liczbą sieciowych przestępców.

Zła wiadomość? Wśród ekspertów panuje przekonanie, że źródłem rzeczywistych zmian, rewolucji w podejściu do zagadnień bezpieczeństwa informatycznego będzie zdarzenie, które wstrząśnie całym światem (branżą informatyczną, organizacjami wykorzystującymi technologie i zwykłymi ludźmi), ogromna katastrofa - cyfrowe Pearl Harbor.

Wstrząs bez precedensu

Termin cyfrowe Pearl Harbor został ukuty przez Jamesa Bidzosa, szefa RSA jeszcze w 1991 r. Mówił on wówczas, że opracowany przez rząd amerykański standard podpisu cyfrowego nie dawał "żadnej gwarancji na to, że inne państwa nie złamią systemu, stwarzając ryzyko cyfrowego Pearl Harbor".

Do roku 1998 termin zyskał dużą popularność. Odnosił się do ciemnych chmur zbierających się nad horyzontem rozwijającego się dynamicznie Internetu. Newsweek pisał wówczas, że burza może przybrać formę "wyrafinowanego ataku na systemy cyfrowe, który może mieć tragiczne skutki w wielu dziedzinach życia: od awarii sieci elektrycznej po zderzenia pociągów". Nieco później zaczęto nawet mówić, że cyfrowe Pearl Harbor ma miejsce każdego dnia. Zaczęto się w ten sposób odnosić do każdego ataku niosącego poważne konsekwencje. Ostatnio idea ta częściej przejawia się w sformułowaniu "terroryści przejmą Internet".

Tymczasem zdaniem ekspertów konieczne jest rozróżnienie pomiędzy atakiem powodującym tylko chwilowe niewygody a atakiem, którego wynikiem są poważne zniszczenia. Dotychczasowe ataki były tolerowane, ponieważ wiązały się z przejściowymi niewygodami. Tymczasem atak, który przyniesie prawdziwe zniszczenie, nie będzie tolerowany. Cyfrowe Pearl Harbor poruszy opinię publiczną w sposób niemający dotychczas precedensu.

Trudno powiedzieć, jak taki atak miałby wyglądać. Znacznie łatwiej wyobrazić sobie, czym nie będzie. Przejęcie Internetu czy sieci ATM, naruszenie bezpieczeństwa bazy danych, w której są przechowywane informacje związane z ubezpieczeniami społecznymi, a nawet włamanie do systemu informatycznego elektrowni. Eksperci przekonują, że choć każdy z tych incydentów może być elementem cyfrowego Pearl Harbor, to żaden nie kwalifikuje się jako pojedyncze zdarzenie.

Żaden z nich nie wpłynąłby na społeczeństwo w taki sposób, by zmusić je do podjęcia zdecydowanych działań.

Trzy lata temu trzech żołnierzy marynarki wojennej USA zginęło w samolocie, który rozbił się z powodu awarii hydrauliki. Awaria była efektem wadliwego oprogramowania. Tragedia. Niemniej nie poruszyła opinii publicznej w taki sposób, jak relacje prasowe i radiowe z ataku Japończyków na Pearl Harbor w 1941 r. czy relacje telewizyjne z ataków terrorystycznych na Nowy Jork i Waszyngton w 2001 r.

Zrządzenie losu

Na dodatek cyfrowe Pearl Harbor wcale nie musi być skutkiem ataku terrorystycznego. Otwarte sieci w połączeniu z dziurawym oprogramowaniem sprawiają, że takie przełomowe zdarzenie może mieć znacznie banalniejsze źródło, np. zmotywowaną grupę ekspertów komputerowych, zwykłego złodzieja czy nawet nieszczęśliwy zbieg okoliczności.

Wyczekiwane przez specjalistów cyfrowe Pearl Harbor nie będzie pojedynczym zdarzeniem. Anatomia prawdziwych katastrof pokazuje, że składa się na nie wiele mniejszych zdarzeń, których prawdopodobieństwo wystąpienia jest niewielkie. Niemniej przypadkiem, dziwnym zrządzeniem losu zdarzenia te zachodzą w jednym momencie i prowadzą do nieprzewidywalnych konsekwencji.

To idea Doskonałej Burzy (Perefect Storm), doskonałej w negatywnym sensie. Ostatnia awaria sieci elektrycznej w USA miała właśnie charakter takiej Doskonałej Burzy. Przypadkowe, na pierwszy rzut oka niezwiązane ze sobą czynniki - przestarzałe sieci przesyłowe, pewne decyzje biznesowe, fala ciepła, historia deregulacji rynku, pewne błędy ludzkie - w kombinacji dały wybuchową mieszankę, która doprowadziła do poważnych zakłóceń w działaniu organizacji i zwykłych ludzi na ogromnym obszarze.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200