Podatność na nowotwory, choroby układu krążenia i wirusy zależy nie tylko od trybu życia, ale także od naszych genów i jest różna u poszczególnych osobników. Niejeden raz w historii epidemia opanowywała całe kontynenty, a jednak populacja nie ulegała zagładzie, bo znajdowały się jednostki odporne na chorobę, różniące się od innych. A jak jest w świecie komputerów?

Niestety, różnorodności w świecie IT nie ma, a to ma ujemny wpływ na bezpieczeństwo systemów informatycznych. W naszej branży obowiązującym hasłem jest standaryzacja. Na targach, seminariach, konferencjach informatycznych słyszymy z ust dostawców i sprzętu, i oprogramowania angielskie określenie "industry standard" - odmieniane na wiele sposobów. Każdy producent ma ambicje, aby jego produkt był "industry standard", bo klient chętnie taki produkt kupuje.

Nie sposób kwestionować korzyści, jakie wynikają z kupowania typowych rozwiązań. Decydując się na "industry standard" dostajemy produkt sprawdzony, zgodny z innymi systemami i najczęściej ekonomiczny, bo wyprodukowany w tysiącach czy milionach kopii.

Z drugiej jednak strony jest to produkt powszechnie znany, który natychmiast staje się atrakcyjnym celem dla komputerowych przestępców. Tak jak himalaiści atakują najwyższe szczyty, bo są, tak masowe programy komputerowe wyzwalają agresję hackerów. Dziś na całym świecie z powodów ekonomicznych i organizacyjnych we wszystkich komputerach biurkowych lub wszystkich serwerach instaluje się ten sam system operacyjny czy aplikacje. Jednak gdy pojawia się robak lub wirus wykorzystujący wady tego systemu, w firmie "padają" wszystkie maszyny. Różnorodność, która chroni ludzkość przed zagładą, w informatyce jest dziś niedoceniana. Za cenę wygody i niższych kosztów tracimy możliwość naturalnej obrony systemów komputerowych przed atakami z zewnątrz.

Już na pierwszy rzut oka widać, że informatyczna monokultura stwarza zagrożenia. Rozgryzając zabezpieczenia programów lub wynajdując ich błędy, wandale często tworzą tylko jednego wirusa, który szybko atakuje tysiące maszyn na całym świecie. "Leniwy" hacker uzyskuje więc potężny efekt zniszczenia, dobierając się tylko do jednej aplikacji. Firma lub organizacja, w której panuje informatyczna monokultura, w przypadku takiego ataku narażona jest na całkowity paraliż.

Czy istnieje dobre wyjście z takiej sytuacji? Mamy nie kupować produktów Microsoftu, Intela lub innych potentatów IT? Obecny trend wprowadzania rozwiązań opartych na systemie operacyjnym Linux też wymaga zastanowienia. Niektóre rządy, w tym niemiecki zakładają, że cała administracja i serwery rządowe będą pracować na Linuksie. I znów mamy monokulturę, tylko w innym wydaniu. Co to oznacza dla bezpieczeństwa państwa?

Nie ma wątpliwości, że kwestia jednorodności infrastruktury to wyzwanie, któremu musi podołać cała branża. Wymaga to współpracy wszystkich zainteresowanych: zarówno dostawców, jak i klientów.

Sprawa jest na tyle poważna, że zajęła się nią amerykańska National Science Fundation, która w październiku ub. roku przyznała dwóm uniwersytetom 750 mln dolarów na badania nad kwestią monokultury w świecie IT. Carnegie Mellon University i University of New Mexico będą próbowały odpowiedzieć na pytanie, w jakim stopniu standaryzacja infrastruktury informatycznej wpływa na jej bezpieczeństwo. Problem ma swój wymiar makro: bezpieczeństwa całej cyberprzestrzeni USA, jak i wymiar bardzo praktyczny - dla korporacji, które coraz więcej płacą za ochronę swojej infrastruktury IT przed zagrożeniami z zewnątrz. Bezpośrednim impulsem do podjęcia badań były epidemie internetowych robaków Code Red, Slammer i ostatnio MSBlast. Złośliwe cyfrowe stworzenia wykorzystały błędy w oprogramowaniu Microsoftu i zainfekowały miliony komputerów na całym świecie, powodując dotkliwe straty, wynikające głównie z przestojów systemów.

W która stronę mogą zmierzać rozwiązanie obecnego problemu jednorodności? Tego jeszcze dokładnie nie wiemy, ale na pewno nie będzie to wyjście proste i tanie. Pierwszy pomysł, jaki się nasuwa, to wykorzystanie w firmach czy organizacjach produktów pochodzących od bardzo wielu dostawców - począwszy od sprzętu, przez systemy operacyjne i aplikacje. Na dłuższą metę idea wydaje się chybiona, bo wiąże się z ogromnymi kosztami wdrożenia, kłopotami organizacyjnymi i technicznymi. Wizja czterech pań księgowych pracujących w jednym pokoju z różnymi systemami operacyjnymi to czysty absurd. Dlatego w świecie IT dojrzewa inny pomysł: różnicowania w ramach jednego produktu.

Można sobie wyobrazić, że zabezpieczenia nowego programu pocztowego będą u producenta opracowywane przez cztery niezależne zespoły. Na rynek trafią cztery wersje tej aplikacji, na pierwszy rzut oka dokładnie takie same. Klienci oszczędzą na szkoleniu pracowników (różne wersje obsługuje się tak samo), ale ich software, pod względem zabezpieczeń, nie będzie już jednorodny. W razie udanego ataku, "padnie" w najgorszym wypadku jedna czwarta komputerów. Tym razem w korporacyjnej populacji maszyn znajdą się także osobniki odporne na atak.

Tomasz Ostrowski