Регулаторите сакаат да ги зауздат технолошките гиганти, но барањето на Европската комисија за „Мајкрософт“ беше делумно одговорно за прекинот
Кој е виновен за прекинот на софтверот на „Краудстрајк“ што онеспособи милиони компјутери низ секој индустриски сектор во светот минатата недела? Како што често се случува со инцидентите со сајбер-безбедноста, има многу вина насекаде. „Краудстрајк“ не успеа правилно да го провери фајлот што им го пушти на своите клиенти, онеспособувајќи ги нивните виндоус-компјутери, а исто така се чинеше дека им го прати тој фајл на сите наеднаш, наместо да почне со мал број клиенти за да идентификува какви било проблеми пред да го почне ажурирањето нашироко.
Во меѓувреме, „Мајкрософт“ дозволи „Краудстрајк“ и другите развивачи на софтвер од трети страни да имаат пристап на ниво на кернел до неговиот оперативен систем Виндоус. Кернелот на оперативниот систем има контрола врз целиот компјутер. Без тоа ниво на пристап, ажурирањето на „Краудстрајк“ веројатно немаше да го има истото влијание. Сигурно ќе беше полесно да се поправи без рачно рестартирање на сите засегнати системи.
Да им се даде на софтверските компании таков пристап до оперативниот систем е опасно – тоа значи дека можете брзо да ја изгубите контролата над вашиот компјутер ако некој од провајдерите на софтвер на кои се потпирате направи грешка или е компромитиран. Затоа „Епл“ почна да ги информира програмерите од трети страни во 2020 година дека повеќе нема да им дава пристап на ниво на кернел до оперативниот систем МекОС (и исто така сосема веројатно зашто проблемот „Краудстрајк“ не влијаеше на уредите на „Епл“).
Но, не е целата вина на „Мајкрософт“. Договорот од 2009 година меѓу компанијата и Европската комисија бара од неа да им овозможи на надворешните програмери ист пристап до Виндоус каков што има нејзиниот сопствен безбедносен софтвер. Идејата беше да им се овозможи на другите софтверски компании да се натпреваруваат со „Мајкрософт“ со тоа што ќе се осигури дека многу од неговите производи и услуги се интероперабилни со надворешен софтвер и алатки. Тоа е достојна цел и многу одредби во договорот се сосема разумни, како што е барањето Аутлук да поддржува заеднички формати на календари.
Но, договорот од 2009 година е длабоко погрешен во барањето на „Мајкрософт“ да ги направи сите АПИ или програмски функции што ги користат неговите сопствени безбедносни софтверски производи достапни за производителите на безбедносни софтверски производи од трети страни. Ова е одредбата што бара од „Мајкрософт“ да им даде пристап на ниво на кернел на компании како што е „Краудстрајк“. Сè додека не се промени, не е јасно дали „Мајкрософт“ може да ја спроведе главната лекција од овој дебакл и да започне постепено да го укинува пристапот, како што направи „Епл“ пред четири години.
Покрај промената на договорот со „Мајкрософт“, Комисијата, како и другите регулатори, треба да размисли за ризиците од жртвување на безбедноста во име на конкуренцијата. Технолошките компании долго време предупредуваат дека преголемото отворање од нивниот екосистем за надворешни програмери може да биде по цена на безбедноста. Овие грижи понекогаш се отфрлаат како изговор за антиконкурентно однесување, но има некои легитимни компромиси помеѓу безбедноста и конкуренцијата.
Комисијата минатиот месец рече дека „Епл“, за да се усогласи со Законот за дигитални пазари на ЕУ, мора да ги олесни пристапот и преземањето софтвер обезбеден надвор од неговата официјална „Продавница за апликации“. Тоа ќе отвори поголема конкуренција за апликациите, но тоа може да значи дека корисниците ќе преземаат небезбеден софтвер што не е проверен од „Епл“.
Поттикнувањето на конкуренцијата на овој начин апсолутно бара оперативните системи да бидат максимално заклучени, бидејќи на крајот би можеле да преземаме софтвер од многу непознати и недоверливи програмери. Затоа „Епл“ во јануари воведе нови безбедносни мерки на својот мобилен оперативен систем за да ја ограничи потенцијалната штета од непроверениот код преземен од ајфоните. Затоа регулаторите мора внимателно да размислат за нивото на пристап што инсистираат од технолошките компании да им го дадат на конкурентите и на програмери од трети страни.
Можеби сме подготвени да жртвуваме одредена безбедност во име на поголема конкуренција, но никогаш, под никакви околности, не треба да ги жртвуваме нашите компјутерски кернели.
Џозефин Волф
Авторката е универзитетска професорка
