يكشف تعطل البرامج عن التوترات بين الأمن والمنافسة
ابق على اطلاع بالتحديثات المجانية
ببساطة قم بالتسجيل في قطاع التكنولوجيا myFT Digest – يتم تسليمه مباشرة إلى صندوق الوارد الخاص بك.
الكاتب أستاذ في جامعة تافتس ومؤلف كتاب “سياسة التأمين السيبراني’
من هو المسؤول عن انقطاع برنامج CrowdStrike الذي أدى إلى تعطيل ملايين أجهزة الكمبيوتر في كل قطاع صناعي في جميع أنحاء العالم الأسبوع الماضي؟ كما هو الحال غالبًا مع حوادث الأمن السيبراني، هناك الكثير من اللوم الذي يجب إلقاء اللوم عليه. فشلت CrowdStrike في فحص ملف القناة الذي أرسلته إلى عملائها بشكل صحيح، مما أدى إلى تعطل أجهزة الكمبيوتر الخاصة بهم التي تعمل بنظام Windows، ويبدو أيضًا أنها طرحت هذا الملف للجميع مرة واحدة، بدلاً من البدء بعدد صغير من العملاء لتحديد أي مشكلات قبل الإصدار التحديث على نطاق واسع.
وفي الوقت نفسه، سمحت Microsoft لـ CrowdStrike ومطوري الطرف الثالث الآخرين بالوصول على مستوى kernel إلى نظام التشغيل Windows الخاص بها. تتحكم نواة نظام التشغيل في الكمبيوتر بأكمله. وبدون هذا المستوى من الوصول، ربما لم يكن لتحديث CrowdStrike نفس التأثير. من المؤكد أنه كان من الأسهل إصلاح المشكلة دون إعادة تشغيل جميع الأنظمة المتأثرة يدويًا.
يعد منح شركات البرمجيات هذا النوع من الوصول إلى نظام التشغيل أمرًا خطيرًا – فهذا يعني أنك يمكن أن تفقد السيطرة على جهاز الكمبيوتر الخاص بك بسرعة إذا ارتكب أي من موفري البرامج الذين تعتمد عليهم خطأً أو تعرض للخطر. ولهذا السبب بدأت شركة Apple في إبلاغ مطوري الطرف الثالث في عام 2020 بأنها لن تمنحهم بعد الآن حق الوصول على مستوى kernel إلى نظام التشغيل MacOS (وربما أيضًا سبب عدم تأثير مشكلة CrowdStrike على أجهزة Apple).
ولكن ليس كل الخطأ يقع على عاتق مايكروسوفت. وتتطلب اتفاقية عام 2009 بين الشركة والمفوضية الأوروبية منح المطورين الخارجيين نفس الوصول إلى نظام التشغيل Windows الذي يتمتع به برنامج الأمان الخاص بها. وكانت الفكرة هي تمكين شركات البرمجيات الأخرى من التنافس مع مايكروسوفت من خلال ضمان أن العديد من منتجاتها وخدماتها قابلة للتشغيل المتبادل مع البرامج والأدوات الخارجية. يعد هذا هدفًا قيمًا، كما أن العديد من البنود الواردة في الاتفاقية معقولة تمامًا، مثل مطالبة Outlook بدعم أحداث التقويم الشائعة وتنسيقات الجدولة.
لكن اتفاقية عام 2009 معيبة بشكل كبير في مطالبة Microsoft بجعل جميع واجهات برمجة التطبيقات، أو وظائف البرمجة، التي تستخدمها منتجات برامج الأمان الخاصة بها متاحة لمصنعي منتجات برامج الأمان التابعة لجهات خارجية. هذا هو الشرط الذي يتطلب من Microsoft منح حق الوصول على مستوى kernel لشركات مثل CrowdStrike. وإلى أن يتم تغييره، ليس من الواضح ما إذا كانت مايكروسوفت قادرة على تنفيذ الدرس الرئيسي المستفاد من هذه الكارثة والبدء في التخلص التدريجي من إمكانية الوصول، كما فعلت شركة أبل قبل أربع سنوات.
وبعيداً عن تغيير اتفاقيتها مع مايكروسوفت، تحتاج المفوضية – مثل الهيئات التنظيمية الأخرى – إلى التفكير في مخاطر التضحية بالأمن باسم المنافسة. لقد حذرت شركات التكنولوجيا منذ فترة طويلة من أن فتح الكثير من نظامها البيئي للمطورين الخارجيين قد يأتي على حساب الأمن. يتم في بعض الأحيان رفض هذه المخاوف باعتبارها ذريعة للسلوك المناهض للمنافسة، ولكن هناك بعض المقايضات المشروعة بين الأمن والمنافسة.
وقالت المفوضية الشهر الماضي إن شركة آبل، من أجل الامتثال لقانون الأسواق الرقمية للاتحاد الأوروبي، يجب أن تسهل الوصول إلى البرامج المتوفرة خارج متجر التطبيقات الرسمي وتنزيلها. سيؤدي ذلك إلى فتح المزيد من المنافسة على التطبيقات، ولكنه قد يعني أن المستخدمين سيقومون بتنزيل برامج غير آمنة لم يتم فحصها بواسطة Apple.
إن تشجيع المنافسة بهذه الطريقة يتطلب بالتأكيد إغلاق أنظمة التشغيل قدر الإمكان، لأنه قد ينتهي بنا الأمر إلى تنزيل البرامج من العديد من المطورين غير المعروفين وغير الموثوق بهم. ولهذا السبب، قدمت شركة Apple إجراءات أمنية جديدة لنظام تشغيل الهاتف المحمول الخاص بها في يناير للحد من الأضرار المحتملة الناجمة عن التعليمات البرمجية غير المدققة التي تم تنزيلها على أجهزة iPhone. ولهذا السبب يجب على المنظمين التفكير بعناية في مستوى الوصول الذي يصرون على منحه شركات التكنولوجيا للمنافسين ومطوري الطرف الثالث.
ربما نكون على استعداد للتضحية ببعض الأمن باسم المزيد من المنافسة، لكن لا ينبغي لنا أبدًا، تحت أي ظرف من الظروف، التضحية بنواة الكمبيوتر لدينا.
