Od paru dnii można sobie w mediach poczytać o tym, jak to amerykański Kongres, ustawą chce zakazać korzystania z produktów rosyjskiej firmy Kaspersky Lab. Podejrzewa się ją o tajemnicze konszachty z Kremlem. Przyjaźni kaspersko – rosyjskiej zaprzecza oczywiście jedna i druga strona. Skoro to nieprawda, to dlaczego Amerykanie nie chcą, aby oprogramowanie antywirusowe dostarczał właśnie ten producent? Przyczyna jest bardzo prosta. Kończy się epoka cyber-zaufania.
Zawirusowany antywirus
Fakty są proste. Przeciwnikiem rosyjskiej firmy jest rząd i parlament najpotężniejszego państwa na świecie. Działa jakie wytoczył na Jewgienija Walentinowicza Kaspierskiego i jego ludzi to broń atomowa. Jej podstawą jest przeświadczenie, że oprogramowanie antywirusowe tej firmy posiada zabudowane narzędzia szpiegowskie. Nie ma na to jednoznacznych dowodów. Jednak publiczne postawienie takich oskarżeń oraz regulacja prawna, zakazująca instalacji produktów firmy na komputerach administracji federalnej, mocno uderzy Rosjan po kieszeni. Klienci indywidualni zastanowią się dwa razy, zanim wykupią kolejny rok subskrypcji.
Czuły punkt
Atak amerykańskich władz, zasadny czy niezasadny, jest więc niezwykle skuteczny. Uderza w samo serce tego biznesu. Zaufanie. Produkty Kaspersky Lab mają przecież chronić i zabezpieczać PC-ty i telefony przed złośliwym oprogramowaniem, wirusami, szpiegami i naszą własną beztroską w sieci. Twórcom tego typu aplikacji udało się przez lata wypracować w głowach użytkowników niemal religijne przywiązanie. Wierzymy takim programom i dzięki nim czujemy się bezpieczniej, korzystając z komputera. Podważenie tej zasady, w przypadku każdej firmy zajmującej się cyberbezpieczeństwem może być początkiem jej końca. Ciężko jest bowiem odeprzeć tego typu zarzuty bez absolutnej transparentności. Sprawna agencja PR może coś zdziałać na rynku konsumenckim. W biznesie jest inaczej. Tak samo w instytucjach rządowych. Zawodowy administrator sieci teleinformatycznej nie zgodzi się na instalację softu, na który pada nawet niewielki cień złośliwości.
Trudny kod
Przeanalizujmy jednak problem z innej perspektywy. Współczesne programy komputerowe składają się z milionów linii kodu. Ich struktura jest niezwykle skomplikowana i złożona. Każda nowa wersja, poprawka, zmiana wiąże się z pracą mnóstwa osób. Rzadko się zdarza, że jeden inżynier ma ogląd całości. Twórców wspierają testerzy, analitycy biznesowi oraz armia anonimowych użytkowników wczesnych wersji rozwojowych. To, co trafia na rynek w postaci finalnego produktu, zawiera w sobie ogromną ilość technologicznych niuansów, z których przeciętny użytkownik nie zdaje sobie sprawy. Traktujemy komputer czy telefon jako maszynę, która robi to, co chcemy. Przynajmniej tak nam się wydaje. Czasami jednak robimy to, co ONA chce, względnie robi coś sama, nie pytając się nas o zdanie. Wszystko dla naszego komfortu i wygody. Gdyby tak nie było, to zapewne trzeba by się cofnąć do epoki Commodore C64 i „wgrywania” programu z kasety. Wówczas mogliśmy, przy odrobinie dobrej woli, kontrolować komputer. Te czasy już nie wrócą. Maszyny cyfrowe pracują w sieci, rozmawiają ze sobą, wymieniają i zbierają mnóstwo informacji. Ten ostatni aspekt jest czymś, o co toczy się teraz wojna. Tak. Cyberwojna trwa. Jest ukryta. Trudno powiedzieć czy biorą w niej udział państwa, koncerny czy inne podmioty. Może wszyscy na raz. Jest to wojna, w której wygraną są zmiany. Różne: rynkowe, polityczne czy społeczne. Na czym ona polega? Na tworzeniu oprogramowania, które czasami robi coś więcej, niż wynika z opisu na pudełku. Może też czegoś nie robić. Z tej perspektywy możemy spojrzeć np. na system Windows oraz ransomware WannaCry. Twórcy robaka znali podatność, bo znało ją NSA (National Security Agency). Pytanie o to, czy znał ją sam Microsoft (i od kiedy), niech zostanie pytaniem retorycznym. Jakakolwiek odpowiedź by nie padła, złożoność oprogramowania, jakiego dziś używamy, powoduje, że dziur zapewne jest więcej.
Utopia
Rozwiązaniem tych problemów jest pełna otwartość. Rzecz w tym, że to utopia. Ani Microsoft, ani Kaspersky Lab nie otworzy kodu źródłowego swoich aplikacji na szerszą kontrolę, zorganizowaną przez jakąś społeczność nerdów. Firmy pilnują swoich patentów. Nawet gdyby było to możliwe, badanie w poszukiwaniu podatności i backdoorów mogłoby trwać lata (w przypadku systemów operacyjnych). Pewien paradoks polega na tym, że agencje rządowe, także w Polsce mogą mieć dostęp do kodu kupowanych programów. Tyle, że bez armii, naprawdę… dużej armii inżynierów, niewiele da się z tym zrobić. Armię taką mają Rosjanie o Amerykanach nie wspominając. Microsoft i Kaspesky Lab mogły nawet nie wiedzieć, że ktoś poznał ich tajemnice. Mało tego, obie korporacje mogły nie zdawać sobie sprawy, że w produkowanych przez nie rozwiązaniach są niebezpieczne dziury. Zauważyli to dowódcy cyberwojska i wykorzystali. Tak robi każda armia.
Ubocznym skutkiem wojen informatyków jest jednak kryzys zaufania do technologii. Kryzys, który powoli się pogłębia. Zwykły Kowalski może nie zdawać sobie z tego sprawy, jednakże w dużych organizacjach powoli staje się to problemem. Do tej pory wierzono, że rozwiązania techniczne są mniej zawodne niż ludzie – najsłabsze ogniwo. Okazuje się jednak, że może to wyglądać zupełnie inaczej. Wymusi to powstanie nowego paradygmatu bezpieczeństwa zasobów cyfrowych. Jakiego? To otwarte pytanie.