pentagon
9

Pentagon utworzył „listę programów zakazanych”. Powód? Bardzo poważny

Mieliśmy listę ksiąg zakazanych, teraz mamy do czynienia z zestawieniem programów, których nie warto / nie można kupować i ich używać - przynajmniej w zastosowaniach militarnych w USA. Powód jest bardzo prosty - na fali ostatnich podejrzeń ZTE, Huawei, Xiaomi o działanie na rzecz chińskiego wywiadu postanowiono o "nacjonalizacji" sfery specjalistycznego oprogramowania - tak, aby nie dać szansy obcym służbom na wykradanie danych.

Pentagon w tym momencie edukuje swoich pracowników, inne organizacje działające przy wojsku oraz swoich partnerów w zakresie wykorzystania bezpiecznego jego zdaniem oprogramowania. Ponadto, stworzono listę aplikacji / usług, które mogą być niebezpieczne w takich zastosowaniach: na liście znajdują się te, które są w bardzo istotny sposób powiązane z Chinami lub Rosją. Nie jest to przejaw psychozy w szeregach wojska USA, obawy nie są bezpodstawne i należy je uznać za szalenie istotne.

Jak wykazuje Pentagon, pojawiały się sygnały o tym, że niektóre programy, których rodowód wskazuje na pewne powiązanie z obcymi rządami / służbami wykazują niebezpieczne zachowania. Sprawie przyjrzeli się eksperci zajmujący się cyberbezpieczeństwem i według ich analiz, najbezpieczniej jest rozstać się z niektórymi aplikacjami po to, aby zapewnić infrastrukturze wojskowej jak największy poziom bezpieczeństwa. Urzędy dyplomatycznie mówią jedynie o „niespełnianiu istotnych standardów” jeżeli chodzi o producentów „zakazanego” oprogramowania – podstawowy motyw jest dużo bardziej brutalny i wiąże się z podejrzeniem o szpiegowanie.

Wyśrubowane procedury bezpieczeństwa – czyli jak upewnić się, że program jest nieszkodliwy?

Jedną z „tradycji” Pentagonu jest prośba o udostępnienie kodu źródłowego programu w celu analizy potencjalnej szkodliwości / bezpieczeństwa produktu. W podobny sposób zachowują się jednak również inne państwa – Chińczycy, zanim pozwolą niektórym podmiotom na sprzedaż swoich produktów na terenie kraju roszczą sobie prawo do zajrzenia w kod źródłowy. Tak samo robią Rosjanie, którzy o tego typu możliwość prosili m. in. Cisco oraz IBM.

pentagon

Nie jest to dobra wiadomość – udostępnienie kodu źródłowego to wręcz zaproszenie do znajdowania luk w oprogramowaniu, które następnie można wykorzystać: bez informowania producenta programów o tym, że takowe znaleziono. Nie trzeba chyba tłumaczyć, że jest to sytuacja skrajnie niebezpieczna, narażająca inne firmy / kraje na ataki, jeżeli tylko korzystają z tych samych rozwiązań.

Gra o wszystko

Nie jestem zdziwiony takim podejściem Pentagonu – na fali ostatnich wydarzeń jest to działanie absolutnie naturalne, choć skala zjawiska niesamowicie przeraża. Trudno jest nam wyobrazić sobie jak rzeczywiście wygląda walka między mocarstwami w cyberprzestrzeni – często o tym zapominamy. Nacjonalizacja w tej materii to zwyczajnie ustalenie granicy bezpieczeństwa, która jest niezwykle istotna w kontekście zastosowań militarnych. Warto byłoby teraz zapytać, czy w Polsce ktokolwiek zastanawia się nad tym, czy zakupowane do urzędów programy są sprawdzane pod kątem „szpiegowania”?