Угроза, которая всегда с тобой

20 июнь, 2012 - 16:43Нестор Комарницкий

ИТ-сообщество давно и, в целом, довольно неплохо научилось жить с угрозой нулевого дня (zero-day threat), состоящей в том, что риск уже материализовался, но производитель программного или аппаратного обеспечения еще не успел отреагировать.

При этом главным в этой проблеме и ее решении являются не встроенные программные или организационные механизмы защиты от таких угроз (белые списки программного обеспечения, своевременные обновления операционной системы и проч.). Главным является доверие нас, потребителей, к ним – производителям, дистрибьюторам и далее по цепочке. И это доверие довольно успешно покупается соответствующим маркетингом ведущих мировых вендоров.

Об угрозе другого порядка, never day threat, или угрозе «дня никогда» эти же вендоры предпочитают молчать. Как ни странно, по состоянию на сегодня об этой угрозе молчит и википедия. А ведь такой риск тоже есть, и управлять этим риском как раз ИТ-сообществу по ту сторону баррикад, где находится ИТ-директор и его команда.

О чем речь? Да о том, что ИТ-продукты производят все те же люди, и они делают все те же ошибки, что и всегда.

И иногда вендор просто и легко может отказываться исправлять ошибки в текущей, замечательно поддерживаемой на бумаге версии ИТ-продукта, предлагая покупать более новую версию или нести риски того, что с этим самым продуктом, а значит и с процессом, в котором он используется, произойдет что-то не то.

И хорошо, если это – учетная система, и то, что кусочки счета-фактуры не доходят из таблички в бизнес-модуле системы в табличку в модуле бухгалтерского учета, а, значит, эту ошибку вполне может поправить на коленке кто-то знакомый с программированием СУБД.

А что, если речь идет о контроллере, встроенном в систему управления неким производственным агрегатом, и означенная ошибка вполне может вылиться в потерянные объемы производства, а то и в несчастные случаи на этом производстве?

Простых решений этого вопроса, пожалуй, нет. А какие есть?