Den världsomfattande IT-kraschen igår visar på faran med oligopol och monokultur. Kraschen drabbade Windows-servrar med programvara från CrowdStrike för att bekämpa hackerattacker och andra sabotage- och intrångsförsök. Fast denna gång var inte nån attack eller nåt virus. Felet var en felaktig uppdatering. En mängd flygplatser, sjukhus, banker, butiker, storföretag med mera.
Det hela visar hur problematiskt det är att stora delar av världen använder samma operativsystem, samma säkerhetsprogram och förlitar sig på automatiska uppdateringar så fort som möjligt. Sverige var ett av de länder som drabbades minst även om flera flygplatser och flygtrafiken tycks ha fått problem. Orsaken till att Sverige var mindre drabbat förefaller oklart men det har fått till följd att gårdagens stora IT-krasch är klart underrapporterad i Sverige. Men det kraschen visar gäller även här. Monopol, oligopol och ett homogent internet innebär stora problem.
Problemet med monopol och oligopol
Världen borde vara mindre beroende av enskilda storföretag och enskilda programvaror. De IT-system som skapats är känsligare än vad de borde vara. Lösningen är att på olika sätt begränsa storföretagens makt över IT-miljöerna.
Ett bra sätt för att göra internet och IT-miljöer mindre homogena är att använda fri och öppen programvara. Fler företag, institutioner, förvaltningar, universitet med mera borde använda fri och öppen programvara. Ett annat sätt att göra det är att förbjuda patent och upphovsrätt på programvara. Det skulle i praktiken göra all programvarukod till öppen programvara om än inte fri. Det skulle kunna garantera att situationen inte uppstår igen,
Tre företag dominerar exempelvis operativsystemmarknaden. Microsoft, Apple och Alphabet (Google). Fler borde använda system byggda på Unix som exempelvis olika Linuxvarianter. Det är heller inte rimligt att företag som Microsoft, Alphabet (Google) och Apple helt dominerar kontorsprogrammarknaden. Fler borde använda fria och öppna kontorsprogram. Inte heller är det bara att sociala medier i västvärlden totalt domineras av några få företag. Meta Inc (Facebook), Alphabet Inc (Google), Amazon, Microsoft, X Corp och ByteDance. Det ser ut på motsvarande sätt i Kina och Ryssland även om det där handlar om andra företag.
Men även fri och öppen programvara kan i sammanhanget bli ett problem om den blir för dominerande. Det är inte rimligt att nästan hälften av världen webbsajter använder en och samma programvara, WordPress. Det finns andra alternativ som WriteFreely, Drupal, Joomla, Ghost, Substack, Atlassian Cloud, Tumblr med flera. Många flera borde använda andra programvaror och tjänster än WordPress för att göra IT-miljöerna på Internet mindre homogena.
Läs mer:
Upptäck mer från Svenssons Nyheter
Prenumerera för att få de senaste inläggen skickade till din e-post.
Problemet med ditt resonemang är att felet egentligen inte hade med Microsoft att göra, utan var en bugg i CrowdStrike som är en programvara som finns även för unix och mac.
Egentligen var det enbart ren slump att felet var i deras Windows-version, det hade lika gärna kunnat vara i unixversionen och högst sannolikt med samma effekt.
Den typen av säkerhetsprogram laddas i kärnan av operativet när datorn startar upp för att de ska ha fullständig tillgång till att monitorera allt som laddas in i minnet, och buggar det ur som i det här fallet kommer samma sak att hända oavsett operativsystem, datorn kommer inte att starta.
Säkerhetsprogrammen i sig är alltså en risk, de är en form av hål i säkerheten eftersom de för att kunna sköta sitt jobb mer eller mindre av nödtvång måste ha fullständig access till datorn. Nu var det ett programfel som råkade distribueras, men OM en sådan leverantör själv skulle bli hackad och någon lyckas plantera in tex spionkod i ett sådant program så har plötsligt hackaren global access till alla datorer som kör den plattform man gjort hacket mot. Och det kan som sagt vara vilken som av Windows, Mac eller Unix.
Grundproblemet ligger alltså i den automatiska uppdateringen och accessnivån ett sådant program måste ha.
Däremot har du såklart rätt i att riskerna ökar när väldigt många använder samma program med automatiska uppdateringar.
Att övertyga stora företag att INTE köra det som anses vara ”industristandard” och ”first-in-class” är dock en sisyfosuppgift. Chefer är oftast mindre intresserade av att ta RÄTT beslut, de är vill ta beslut som ingen kan säga vara fel eller äventyrliga. IBM levde länge på det: ”Nobody gets fired for choosing IBM”. Detsamma gäller för Microsoft och verksamhetssystem som tex SAP…
Ja, automatisk uppdatering är kanske inget man ska ha på den typen av system. Men problemet hade inte blivit lika stort om det fanns fler programvaror etc. Ja att ersätta ”standard” är grymt svårt.
Är en gammal ”stöt” som var med och satte upp unix-system under början av 80-talet och har jobbat mycket med ”fria” programvaror inklusive linux. Även om jag på något sätt fortfarande tror på tanken om ”fria” programvaror kan jag inte blunda för begränsningarna.
För all kritisk programvara, säkerhetskritiskt såväl som affärskritisk, ställs allt högre krav på såväl robusthet, d.v.s. att systemet inte ska ”gå ned” och sluta fungera, som säkerhet i mening skydd mot olika slag av intrång. När jag skrev mina första programrader i slutet av 1970-talet var program och system inte särskilt komplexa, man hade ”koll på läget” ned till processorernas register och skulle det gå snabbt programmerade man direkt med maskininstruktioner.
Nu 45 år senare är situationen en helt annan. Programvaror och system är till den grad komplexa att det inte finns någon som förmår att ha hela överblicken. Att utveckla i denna omgivning med upprätthållande av robusthet och säkerhet (skydd mot intrång etc.) kräver gigantiska resurser och sofistikerade metoder för integration och test. Att upprätthålla dessa förmågor är enormt utmanande både på ”fria” plattformar och för mindre företag som söker egna innovativa lösningar. Följden är att vi hamnat i ”jättarnas värld”, det svider förstås i min ”fria platformsskäl” men samtidigt har jag full förståelse för den utveckling som skett.
Det är inte ”bara” att byta Windows med något annat då detta ”något annat”, i fallet säkerhetskritiska system, måste ha samma nivå och robusthet och samma säkerhetsnivå. Linuxbaserade lösningar skulle absolut kunna användas men integrationsarbete och test skulle vara mycket mer omfattande än när ”hyllprodukten” Windows används. Det samma gäller underhållet. I detta finns, och det kan vi inte komma ifrån och själv har jag lärt mig det den ”hårda vägen”, stora begränsningar.
När det gäller den nu aktuella IT-kraschen är inte den självklara lösningen olika operativsystem. Riktigt kritiska system bör baseras på redundans där det finns parallella och inbördes oberoende implementationer av samma funktionalitet. Olika operativsystem kan men behöver inte nödvändigtvis vara beståndsdelar i sådana lösningar
Jag håller med om ditt resonemang som jag ser som en utveckling av mitt resonemang. Det finns inget i det jag som inte skulle kunna var en del av lösningen och ingenting som går emot det du skriver. Men det jag skrivit är samtidigt en förenkling och det krävs mer. Vilket är nödvändigt för den typ av blogg jag driver och för de läsare jag har.
Själv arbetade jag med utveckling av tekniska system för vattenverk, avloppsreningsverk, kraftverk (inklusive kärnkraftverk), kollektivtrafiksystem, bromsprovningssystem mera. Jag skrev kommunikationsprogram mellan olika typer av utrustning och servrarna som körde HP-UX. Några av dessa programvaror och system är fortfarande igång och fungerar efter 20-30 år. De är väldigt okänsliga för störningar och de är i allmänhet inte tillgängliga via internet. Vi loggade in i systemen via uppringda modem och kunde underhålla dem på distans. Jag brukar säga att majoriteten av det svenska folket har använt program jag skrivit. Jag känner väl till problemen och vet vad som krävs. Men mina läsare känner inte till detta då de flesta inte har någon datautbildning.
Ja, då hade både du och jag ”koll på läget” på tiden det begav sig. Vi förmådde då att överblicka hela programmets/systemets funktion vilket förenklade verifieringen, antalet testfall var begränsat. Visst fanns en inkörningsperiod med ”buggar” men efter ett tag inträdde ändå en ”robusthet”.
..men visst det var inte så sofistikerat, det fanns inga ”appar” som i realtid informerade oss om varje möjlig och omöjlig detalj. Och just nu indikerade appen på min mobil att diskmaskinen var färdig, resultatet av en förmodligen ganska komplicerad kedja av systemintegrationer … om denna vetskap är särskilt ”värdeadderande” är jag dock långt ifrån övertygad om, ibland är nog ändå det enkla gott nog …
Ja, vi är överens om skillnaderna och problemens olika art då och idag.