gal-sec (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} gal_sec) wrote,@ 2005-08-28 23:16:00 |
|
Мотивация безопасности
Хотим мы того или нет, но финансовые вопросы сильно влияют на ИТ безопасность. Задумайтесь на секунду, что было бы, если бы производителей программного обеспечения заставили бы законодательно нести ответственность за качество их приложений (операционных систем, серверного ПО и т.д.)? Когда я покупаю новую машину, то я не думаю, что она не будет ломаться. Но я знаю, что если она сломалась в течение какого-то времени с момента покупки, то мне ее починят по гарантии. В мире программного обеспечения это не действует. Что может простимулировать лучше, чем финансовые мотивы? Если я отвечаю за качество ПО, то мне выгодно делать его более качественным.
Когда внутренние интересы какой-то компании конфликтуют с "общим благом", компания выберет внутренние интересы - если нет внешнего фактора, который сможет сместить акценты. Сделает ли нас безопаснее возможность безнаказанного дизассемблирования и анализа кода? Думаю да. К примеру, EULA (End User License Agreement) у Cisco явно запрещает дизассемблирование и анализ собственного кода. На кого это оказывает влияние? Крекерам ведь наплевать на такие "условности". А исследователи безопасности могу задуматься над возможными последствиями для себя. Таким образом, первые получают ничем не оправданное преимущество.
http://securityfocus.com/columnists/3
Хотим мы того или нет, но финансовые вопросы сильно влияют на ИТ безопасность. Задумайтесь на секунду, что было бы, если бы производителей программного обеспечения заставили бы законодательно нести ответственность за качество их приложений (операционных систем, серверного ПО и т.д.)? Когда я покупаю новую машину, то я не думаю, что она не будет ломаться. Но я знаю, что если она сломалась в течение какого-то времени с момента покупки, то мне ее починят по гарантии. В мире программного обеспечения это не действует. Что может простимулировать лучше, чем финансовые мотивы? Если я отвечаю за качество ПО, то мне выгодно делать его более качественным.
Когда внутренние интересы какой-то компании конфликтуют с "общим благом", компания выберет внутренние интересы - если нет внешнего фактора, который сможет сместить акценты. Сделает ли нас безопаснее возможность безнаказанного дизассемблирования и анализа кода? Думаю да. К примеру, EULA (End User License Agreement) у Cisco явно запрещает дизассемблирование и анализ собственного кода. На кого это оказывает влияние? Крекерам ведь наплевать на такие "условности". А исследователи безопасности могу задуматься над возможными последствиями для себя. Таким образом, первые получают ничем не оправданное преимущество.
http://securityfocus.com/columnists/3
