gvg | 37.188.236.120/127.0.0.* | 10.11.2013 20:29 |
| Čím myslíte, že je tato situace způsobena? Podle mě tím, že bezpečnost není na první pohled vidět, a už vůbec nepřináší na první pohled žádný zisk. Proto se jí věnuje málo peněz, tedy času.
Problém je primárně u zadavatelů. Neví, co mají a mohou požadovat. Podle toho vypadají smlouvy, zadání a komunikace v průběhu tvorby díla. V některých oblastech života se takové problémy řeší tak, že si kromě zhotovitele firma najme i dozor, který kope za zadavatele a zhotovitele hlídá. V IT oblasti je tento púřístup bohužel dost vzácný a tak běžně dochází k tomu, že zhotovitel prohlásí, že si "zadavatel bezpečnost neobjednal" a má pravdu.
Další běžnou neznalostí zadavatele/provozovatele jsou náklady na provoz IT řešení v průběhu času. Běžná zkušenost - vysoké náklady na pořízení, nějaká ta drobná údržba v během životnosti a pak zdarma vyhodit na smetiště, v IT světě často nefuguje.
Bez dobré smlouvy, bez zadání a bez peněz nikdo nic kvalitního nekoupí, nevyrobí a neuspravuje. Nezbývá, než se přizpůsobit přáním zákazníka - potravinář vyrobí párky, které nikdy neviděli maso, stavební firma "dálnici" a vývojář IT řešení, které je dost dobré, aby splnilo požadavky smlouvy.
Po bitvě je každý generálem a v jednotlivých případech se dá najít spousta radilů, kteří navrhují, co by měli ti ostatní udělat lépe, jak jednoduché je udělat aplikaci bez chyb. Ale málokdo půjde a zdarma vyškolí vývojáře, aby psali bezpečnější kód, nebo se nechá zdarma najmou do firmy, aby po nich kontrolovat hotový kód (oni by ho tam ani nechtěli, protože by jim ukradl jejich "knowhow" :)).
Výborným pokusem v této oblasti je projekt OWASP, který si klade za cíl posadit všechny strany, které mají s vývojem aplikací co do činění, k jednomu stolu a pomoci jim poznat vzájemně své problémy a podat jim pomocnou ruku. A zdůrazním to ještě jednou - OWASP není pouze pro odborníky na bezpečnost, ale především pro ty ostatní. Kdo má zájem, tak příští týden je první meeting v Praze.
A ještě z druhé strany. Co to je ta bezpečnost? A je vůbec potřeba? A kolik jí potřebujeme? Každopádně je to něco, o čem je třeba uvažovat s chladnou hlavou a v souvislostech. Ne každá "bezpečnostní chyba" - záměrně je psáno v uvozovkách, protože je otázkou, které jsou ty bezpečnostní a co jsou vůbec chyby - musí mít bezpečnostní dopady. A to je to klíčové. Každý si musí vyhodnotit dopady na sebe a u každého to může být jiné. Provozovatel to hodnotí pro svůj byznys, uživatel zase ze svého pohledu. V reálném světě se každý od mala učí a připravuje, že bude pracovat s nebezpečnými věcmi, jako je nůž, elektřina, automobil, ... V IT světě, který trpí rychlým rozvojem, je pak nutné toto učení neustále opakovat a doplňovat. Rozhodně to nejde spláchnout tím, že já mám antivirus, antispam, antiXXX a ten to za mě zařídí.
Kdybych se měl vrátit k původní otázce, tak hlavní problém leží v dynamice IT oboru, což si vynucuje kontinuální vzdělávání a vysoké investice. Jakmile začneme uvažovat v delším časovém okamžiku, tak IT opravdu není levná záležitost, jak se nám snaží dnešní marketing vnutit. Ale jsou tu i další řešení, jako je přibrždění rozvoje legislativou.
|
|