Securitatea în IT nu ar trebui să fie prea complicată, dacă ar fi abordată ceva mai obiectiv. De fapt, la nivel de principii de funcționare, cred că se aseamănă cu multe alte industrii.

Să ne imaginăm că, în loc de calculatoare și date/informații, sîntem în domeniul autovehiculelor.

Șofer = utilizator

Autovehicul = calculator+informații

Șosele = rețea/Internet. Pe acestea mai înîlnim semne de circulație, semafoare, intersecții….(căruțe = malware? 🙂 , polițiști/radare=IPS/IDS)

Acum să ne gîndim puțin la securitate.

Sînt lucruri care țin de conduita șoferului; altele care sînt sarcina proiectantului și administratorului drumului; altele care țin de producătorul/proiectantul autovehicului. În povestea asta știm foarte bine că avem șoferi de tot felul; drumuri mai bune sau mai proaste și cu „lățimi de bandă„ diferite; autovehicule mai rapide sau mai puțin rapide, mai ieftine sau mai scumpe. Mai avem și organisme care stabilesc „regula jocului„ pe drumurile publice, care autorizează folosirea autovehiculelor etc.

„Securitatea„, mai corect spus „siguranța„ nu este deci doar responsabilitatea unui actor. De unde ar fi trebuit să știe șoferul despre centuri de siguranță, airbag, controlul tracțiunii, asistență la plecarea din pantă etc? Și dacă șoferul nu știe și nu cere, de ce ar fi introdus astfel de elemente producătorii? În final, este responsabilitatea șoferului cum circulă, nu? Este treaba „drumarilor„ să semnalizeze șoselele, să instaleze semne de circulație etc. De ce să fie interesat producătorul de „siguranță„?

Vedem însă că producătorii sînt interesați de „siguranță„. Pe lîngă „gadget„ -uri, orice producător a introdus elemente de siguranță activă și pasivă pe autovehiculele produse. Și toți se laudă cu testele NCAP.

Cine vrea să conducă trebuie să fie autorizat și apoi devine responsabil pentru conduita sa, dar știe de cîtă „siguranță„ beneficiază din momentul în care și-a achiziționat autovehiculul.

Cred că s-a înțeles ce vreau să spun. Așadar, „siguranța„/securitatea este și responsabilitatea dezvoltatorului de aplicații. Pentru că vulnerabilitățile nu se întîlnesc doar la nivelul șoferului sau șoselei. Atunci cînd se identifică postvînzare probleme la o mașină, producătorul o recheamă pentru reparație. Pe cheltuiala sa. Pentru că, spre deosebire de zona software, știe că poate fi dat în judecată….În cazul software riscul de a fi chemat în instanță pentru că aplicația este „găurită„ nu prea există. Toți „soferii„ bifează căsuța „Accept„: folosești „mașina„ pe propriul risc.

Poate că, în domeniul securității IT, ar trebui regîndită  abordarea vulnerabilităților utilizatorilor, ale rețelei și cele din cadrul aplicațiilor.

Fără RCA și Inspecție tehnică valabile nu ai voie să circuli pe drumurile publice.