Mezi světem počítačových programů a prostředím ostatních výrobků je mnoho rozdílů. Přesněji v prostředí počítačových programů vzniklo a je udržováno mnoho rozdílů proti ostatním odvětvím, které běžní uživatelé nechápou, ale IT specialistům vyhovují.
Společnost General Motors dostala nedávno pokutu 35 miliónů USD a stahuje do servisů několik tisíc svých vozidel. Podobné problémy a svolávání vozidel do servisů musí řešit čas od času i jiné automobilky. Nikdy jsem neslyšel ze strany výrobců automobilů, že by selhání svého výrobku sváděli na chybu uživatele. Automobil, podobně jako operační systém, jsou poměrně složité výrobky. Neslyšel jsem ale, že za problémy se zoxidovanými konektory může uživatel, protože s automobilem jezdil v dešti. Stejně absurdně by zněla výmluva výrobce, že za problémy s klíčkem od zapalování mohou přívěsky, které si uživatelé dali na stejný kroužek s klíčkem. V případě již zmíněné společnosti GM se jednalo o závady, které byly v automobilech vyráběných před mnoha, někdy i deseti lety. Kontrolní orgány se ale zabývaly i takto starými problémy a zkoumaly přístup automobilky.
V prostředí počítačů a počítačových programů nic podobného neplatí a neexistuje, přestože je tvorba počítačových programů výlučně lidskou prací. Pokud pominu počítačové periférie v podobě různých čidel, tak programátoři nemusí brát zřetel na fyzikální a chemické zákonitosti (například roztažnost, vzájemná reakce dvou látek, atd.). Programátoři operačních systémů, respektive SW firmy za nic neručí a navíc nutí běžné uživatele k tomu, aby se smířili s názorem, že jinak to dělat nejde.
V době, kdy byl operační systém vlastně programový základ pro spuštění textového editoru nebo účetnictví, tak nikoho chyby v operačním systému moc netrápily. Jenže situace se změnila, výrazně změnila. Bohužel v době rozvoje Internetu, SCADA aplikací nebo chytrých telefonů se již nikdo nevrátil k zásadním úvahám o důležitosti a důvěryhodnosti operačních systémů. Už v minulém století platilo a platí dodnes pravidlo, že „Kdo získá kontrolu nad operačním systémem, ten získá kontrolu nad všemi aplikacemi, které pracují nad tímto systémem“.
Ředitelka společnosti Microsoft ČR paní Weberová nazvala minulý týden svůj sloupek „Viry již nejsou to, co bývaly. Bohužel“. Má pravdu, počítačové viry skutečně udělaly za posledních deset let ohromný skok kupředu. Jenže paní Weberová zapomněla uvést, že naprostá většina virů měla a má šanci existovat právě díky konstrukci operačního systému Windows. Dalším co pomáhalo a pomáhá tvorbě virů jsou deset a více let staré chyby v tomto operačním systému a také PR akce, které ukazovaly jeden správný směr řešení ICT bezpečnosti. Takto nastavený směr je prosazován již více jak 10-12 let, ale situace na poli počítačové bezpečnosti se naopak stále zhoršuje a zhoršuje. Není tedy něco špatně již na úplném počátku?
V prostředí počítačových programů dnes platí mnoho odlišností proti jiným oborům a jiným výrobkům, které také navrhli a vyrobili lidé. Jen pro ilustraci, GM dostala pokutu za deset let staré chyby v konstrukci klíčků zapalování a za slabou povrchovou ochranu konektorů elektroinstalace. Microsoft je na tom, co se týče stáří chyb, velmi podobně. V jeho případě bylo v nejnovějším operačním systému za poslední dva roky objeveno téměř 200!! chyb, které byly společné s deset let starým výrobkem, s Windows XP. V případě Microsoftu jsem ale neslyšel o žádném dalším zkoumání odpovědnosti nebo dokonce o pokutě za vady výrobků.
Naprosto si uvědomuji, že se jedná o skutečně globální problém, ale to přeci neznamená, že nad takovým problémem mávneme rukou. V tuto chvíli jsou dvě možnosti.
1, Začneme ihned hovořit o změnách v přístupu k operačnímu systému a k odpovědnosti jeho tvůrců.
2, Počkáme, až z důvodu zneužití chyb v operačním systému a na základě útoku počítačového viru budou umírat lidé a pak se vrátíme k bodu č. 1.
Bez změny přístupu k výrobcům operačních systémů a dalšího SW se bezpečnost ICT nepohne ze začarovaného kruhu. Pokud nebude nově definována odpovědnost výrobců SW, tak nepomohou stamilióny ani miliardy investované do bezpečnostních technologií, bohužel nepomůže ani Národní centrum kybernetické bezpečnosti ani zákon zaměřený na tuto oblast.
Problém je v ČR i v dalších zemích z velké části v uvažování lidí – IT specialistů (přesněji větší části této komunity), kteří na počátku své odborné kariéry přijali nějaký názor a teď jej budou těžko měnit. Je mnohem jednodušší tvrdit, že jsou uživatelé hlupáci, když si nedokáží zabezpečit své počítače, než si přiznat vlastní chybu a hledat vysvětlení na straně tvůrců OS nebo provozovatelů aplikací.
Jedinou cestu, kterou vidím je zvyšování IT sebevědomí běžných uživatelů ( i ministr, poslanec, redaktor nebo CEO firmy jsou běžní uživatelé). Počítače již dávno nejsou „chytré psací stroje“ . Dnes počítače řídí průmyslové aplikace, zdravotnické přístroje, tedy systémy, kde může skutečně dojít k ohrožení lidských životů podobně jako když selže nějaká komponenta v automobilu.
Je tedy čas odmítnout názor, že v operačním systému budou vždy chyby. Stejně tak je třeba rázně odmítnout názor, že jinak než současným způsobem není možné operační systém vytvářet. Je to možné změnit. Ta změna nebude jednoduchá, ale složitost se neskrývá v technickém řešení. Největší úskalí vidím ve změně uvažování celé jedné generace IT specialistů.
