A vezető technológiai cégek szolgáltatásai már nélkülözhetetlenek a mindennapokban Nemrégiben láthattuk, hogy egy hiba és fél napra leáll a világ. Elképzelhető, hogy ez csak egy bevezető volt? Milyen lesz, ha tényleg napokra leállnak a rendszerek? És ha ez szándékos lesz?
Az IT szektor pénzügyi lejtmenete és a mesterséges intelligenciával kapcsolatos befektetői aggályok együttesen több pénzügyi elemzőt a „kipukkadt az MI-ballon” mondat leírására sarkallt.
Megértjük.
Kit villanyoz fel, hogy a felső kategóriás okostelefonokban most jelenik meg az MI? Hogy karácsonykor egy sor laptopban lesz beépített MI? Ki az, aki a kütyüjétől kér tanácsot, hogy milyen müzlit vegyen – és meg is fogadja?! A különböző kultúrák nagyon eltérően viszonyulnak a technikai eszközök intelligenciájához.
Az útvonaltervező mindenhol befutott, de a befektetési és életviteli tanácsadónak még bizonyítania kell.
A törvény betűje és pénztárcája
A monopóliumellenes szabályzások elvileg a digitális diverzitást védik.
Nem tartoznak a legnépszerűbbek közé… Azért sem, mert sokszor nem hatékonyak, nem kapcsolódnak hozzájuk visszatartó erejű szankciók. Nehéz nem arra gondolni egy-egy zsíros EU-bírság kapcsán, hogy az voltaképpen egy különadó: a globális szereplő piaci helyzete nem változik meg, a diverzitás nem javul, hangos jogász- és aktivistaméltatlankodás közepette befizeti a büntetést, és minden megy tovább, ahogy addig.
Úgy tűnik, hogy Google ellen eltökélte magát az az amerikai törvényhozás: körülbelül a legmagasabb szinten jelentette ki egy szövetségi bíró, hogy bizony monopóliumot hozott létre a „hirdetésóriás”.
Ezt persze mindenki évtizede tudja, amióta a Google részesedése 70 százalék fölött van az onlinehirdetés-piacon (most 95 százalék…), amióta kötelező a Chrome az összes androidos telefonon, amióta kiderült, hogy a böngészés során elképzelhetetlen mennyiségű adatot gyűjt a felhasználók viselkedéséről, és ennek csak töredékét osztja meg az ügyfeleivel.
Mindennek ellenére ez a bíró is elismeri, hogy a Google keresőszolgáltatása a legjobb az összes közül (a nyilvánvalóan fizetett sorrend utáni találatok általában relevánsabbak, mint a többi kereső találatai ugyanarra a keresőkifejezésre.).
A precedens alapú angolszász törvényhozásban volt már példa arra, hogy a nemzet legértékesebb vállalatát feldarabolták, hogy élénkítsék a piaci versenyt. (1987-ben a Bell telekommunikációs céget, ennek legnagyobb részéből lett a jelenlegi AT&T.)
Könnyen lehet, hogy ilyesmi vár a Google-ra. Elképzelhető, hogy az MI-részlege is külön cég lesz, amelybe a Google a többi nagy tech-céghez hasonlóan milliárdokat fektetett, és nekik is egyre fontosabb a megtérülés, a külön cégnek még inkább az lesz.
Az EU jelenleg érvényes Digital Markets Act „kapuőr” meghatározása iránymutatónak tűnik: a 70 millió vagy több ügyfél valóban akár kulturális léptékű hatásgyakorlási hatalomnak is tekinthető, jogos, hogy az ilyen nagyságú online szolgáltatók működése ellenőrizhető, átlátható legyen.
A legutóbbi „áldozatok” a Temu és a Shein – a CrowdStrike csak szeretne ekkora lenni, de még nem tart itt.
Úgyhogy nem a törvény, hanem a saját jól felfogott érdeke kényszeríti majd arra, hogy változtasson a gyakorlatán: az eset hatására eddig 12 százalékkal csökkent a piaci értéke, sokat kell dolgozniuk azért, hogy visszaszerezzék a hírnevüket.
A csodálatos szoftverdiverzitás kínzó hiánya
Mindeközben nem csillapodnak a CrowdStrike-botrány hullámai, melynek révén gyakorlatilag teljesen megállt a világ egy fél napra. Leálltak a számítógépek, ennek következtében a foglalási rendszerek, a repterek is.
Egymásra mutogatnak az érdekeltek: a Microsoft szerint a Delta légitársaság korszerűtlen IT-rendszere fontos részese az eseményeknek, de a CrowdStrike sem tartja magát (teljesen) vétkesnek.
Egy biztos: csak a Deltánál milliárd dolláros kárt okozott a több ezer járat szoftverhiba miatti kiesése. Mint (már) ismeretes, egy július 19-én automatikusan szétküldött frissítés személyi számítógépek tízmillióit küldte a „kék halálba”, amelyből csak egyenként, kézzel lehetett feléleszteni a gépeket. Az egyik nagy károsult a Delta légitársaság.

Forrás: Wikimedia commons
Természetesen windowsos gépek voltak érintettek, a világ személyi számítógépeinek több mint 95 százaléka windowsos, tehát azt kellene kiemelni, amikor nem windowsos gépekről lenne szó – de az ilyen történésnek az alacsony érintettség miatt a hírértéke is alacsony.
A CrowdStrike biztonságiszoftver-szállító cég bűnös terméke pedig egy rendszerszinten (magas jogosultságokkal) futó védelmi szoftver, amely a memória-hozzáféréseket figyeli, általában kiszűrve a gyanús műveleteket: a legrosszabb indulatú szoftverek gyakori szokása, hogy fontos memóriaterületek tartalmát próbálják megszerezni, és/vagy saját céljaiknak megfelelően módosítani.
Ezt a védelmi szoftver egy sikeres termék (volt eddig), több (sok) tízezer ügyfél több (sok) millió gépén fut.
A Crowdstrike eset következményeinek kérdései
Az életünk másik alapját jelentő okostelefonok hál’ Istennek nem windowsosak, tehát egy elemi, technológiai diverzitás azért fennáll. Mind az Android, mind iOS operációs rendszerek egy, a Windowsnál sokkal szigorúbb – kevésbé sérülékeny, nehezebben (ki)használható – gyökérről fakadnak.
Két alapvető kérdést lehet feltenni:
- Kell-e változtatni a védelmi szoftverek frissítési gyakorlatán?
- El-lehet-e kerülni a kritikus infrastruktúra-elemek hibái miatti kockázatokat?
Egy
A válasz: nem. Szembe kell nézni azzal a kényelmetlen ténnyel, hogy a teljesen helyes, megalapozott cselekvés is torkollhat balesetbe. Gondoljunk egy olyan esetre, amikor satufékezéssel nem ütjük el a labdája után elénk szaladó kisgyermeket, de a hátulról belénk szálló másik autó miatt ostorlengés következtében kitörik a legbiztonságosabb helyen, mögöttünk ülő anyós nyaka. (Nyilván a másik autós a hibás, de ettől még anyósunk életveszélyesen megsérült.)
A CrowdStrike a fennállása óta eltelt időben kideríthetetlenül nagy mennyiségű kockázatot hárított el, és fog elhárítani a jövőben. Ami persze nem nagy vigasz a mostani kárvallottaknak, pedig sokan kaptak 10 dolláros ingyen Uber-uzsonna utalványt…
Kettő
A válasz: nem, de az indoklás az előzőnél bonyolultabb. Először is utalunk arra, hogy a hiba a termék a tervezettől eltérő működése, azaz a termék tulajdonsága, a sebezhetőség pedig egy előre nem látható körülmény az áldozat kárára történő kihasználása, azaz a helyzet tulajdonsága. A megítélést nehezíti, hogy gyakran egy hibával való visszaélés a sebezhetőség. Egy helyzetet a legtöbb alkalommal utólag minősítünk sebezhetőségnek.
Egy autó kanyar-instabilitása hibának tűnik, de egyrészt lehet, hogy csak az adott kanyar túl nagy sebességgel történő bevételekor derül ki, másrészt ún. drift-versenyeken kifejezett előny lehet. (Drift-verseny: olyan terepverseny, amelyet kifejezetten csak „kifaroló” műveletekkel lehet teljesíteni.)
Másodszor a termékbeszerzési döntéseket legtöbbször részletesen meg kell indokolni.
Gondolja meg az olvasó: kit venne föl szívesebben IT-biztonsági vezetőnek? Egy felfüggesztett szabadságvesztésre ítélt hackert, vagy egy utolsó egyetemi évét töltő programozózsenit? Igen, a hacker már bizonyított, látott már hibát, ki is használta – igaz, legutóbb lebukott. Zsenipalántánk pedig lehet, most lát először hús-vér emberekkel működő munkahelyet, viszont rájön olyanra, amire a dörzsölt hacker nem.
Nem könnyű döntések ezek. A járt úton továbbhaladás akkor is biztonságosabbnak tűnik, ha épp most tápászkodtunk fel egy csúnya esésből. A nagy cégek nem szokták elkergetni bevált beszállítóikat egy-egy gikszer után.
Ez a lélektani hatás a digitális diverzitás ellen hat: a legjobb reklám az elégedett vevő, tehát a sikeres vállalkozó piacrészesedése nőni fog. Egészen addig, amíg egy versenytárs be nem hatol a vadászterületére, vagy a hatóságoknak szemet nem szúr a dominanciája.
A kiberbiztonság jelenlegi, a média által rendszeren siralmasnak minősített állapota nem teszi lehetővé a frissítések klasszikus, alapos kitesztelését, az MI-hullám előtt is napi több frissítést kellett kiküldeni, és az ütem egyre gyorsul.