Директор по безопасности Apple призывает к введению налога на уязвимости
У нового начальника службы безопасности Apple Дэвида Райса интересные взгляды на то, как улучшить уровень безопасности программного обеспечения – он предложил облагать уязвимости в программном обеспечении налогами. Райс полагает, что такой налог может быть введен так же, как был введен налог на загрязнения, и целью его будет являться заставить компании платить и отвечать за то количество ущерба, которое причинено по их вине.
«Мы тестируем автомобили в ходе испытательных тестов на столкновения, чтобы увидеть, как они себя ведут в таких ситуациях, поэтому мы с тем же успехом можем применить эту методику и к программному обеспечению, чтобы оценить то, как оно работает и дать ему оценку по рейтингу безопасности», — рассказал Райс Forbes на прошлой неделе — «Если бы налог поднял частные расходы на киберпреступления, люди научились бы избегать ошибок очень быстро. Когда ненадежное программное обеспечение начнет стоить дороже, люди будут вести себя умнее».
Райс привел данные Gartner, оценивающие стоимость внедрения патчей для программного обеспечения отдельной компанией с количеством от 2500 до 3000 машин в среднем в 1 миллион долларов в год. «Давайте обратим больше внимания на программное обеспечение, потому что оно — самый важный, требующий исправлений элемент системы и практика показывает, что издание исправлений – не такая уж и сложная задача. Небезопасное и ненадежное программное обеспечение вносит беспорядки в киберпространство, и мы должны избавиться о этой проблемы в корне», — сказал Райс.
Главный исследователь Kaspersky Lab Дэвид Джэйкоби внес некоторые коррективы в данную идею. Согласно Джэйкоби, в этом случае будет слишком много «если», с которыми придется иметь дело.
«Я думаю, что эта идея не поможет решить какие-либо проблемы, потому что не все уязвимости – уязвимости в программном обеспечении», — прокомментировал он инициативу Дэвида Райса изданию IT PRO — «Некоторые уязвимости существуют из-за локальных настроек сервера, на котором работает программное обеспечение. Также могут быть логические недостатки, которые могут проявляться при определенных обстоятельствах, а степень уязвимости не может быть определена третьим лицом, потому что он не имеет представления о том, с какой информацией имеет дело сервер и как уязвимость влияет на клиента».
При этом Джэйкоби согласился, что производители должны нести ответственность за своё программное обеспечение и должны улучшать средства его тестирования.
Главный исследователь malware в команде Kaspersky Lab Курт Баумгартнер поведал, что идея о налоге не учитывает, что многие ошибки, а может и большинство из них, не являются причинами эксплуатируемыми.
«Нам нужно творческое решение, но я не думаю, что налоговая система – именно то, что надо», — сказал Баумгартнер — «Черт, производители не могут даже привести в порядок систему оценки степени опасности их же программного обеспечения и патчей».
Он добавил, что другие предложения были бы «более уместными и более подходящими решениями проблемы».
Эксперт по безопасности Sophos Джеймс Лин сказал, что введение налога могло бы помочь «поднять планку» и вынудить разработчиков программного обеспечения улучшать степень безопасности их продуктов. Но любой проект по вводу налогов должен быть разработан с особой тщательностью, чтобы он не помешал разработке новых продуктов, сказал Лин.
«Такая идея должна быть тщательно проработана, потому что многие представляющие ценность технологические платформы начинали именно как недоработанные приложения», — уточнил молодой эксперт по безопасности. «Препятствование инновациям следует также взять в расчет».
Лин согласился с Райсом в том, что нет такого программного обеспечения, которое можно было бы назвать идеальным. Но хоть идея и не может устранить проблему, она, по крайней мере, может улучшить ситуацию.
«Налог будет, скорее, выполнять регулятивную функцию, следя за тем, чтобы компании вкладывали достаточное количество средств (конечно, соизмеримое с ресурсами компании), чтобы справится с рисками», — добавил Лин. «Регулирование может быть эффективным, но должно выполняться тщательно и продуманно для того, чтобы избежать неблагоприятных последствий».
Он отметил, что то, что Apple «проявляют инициативу и хотят внести ясность и улучшить инвестирование» — уже в любом случае хорошо.
За пределами компаний, в области образования, должна проводиться практика по развитию безопасности, сказал Лин. Он утверждает, что многие академические органы не делают достаточно для того, чтобы осветить эту тему.
Источник информации: Хакер