Hlavní navigace

Blábol v časopisu Euro: „Drahé slovo: Zdarma“

25. 4. 2006 20:22 (aktualizováno) Janek Wagner

Podtitulek „Rizika nasazení OpenSource programů ve státní správě jsou dosud vysoká“ určitě vyvolá bouřlivou reakci v OSS/FS komunitě. Zvláště použití oblíbeného a nesčíslněkrát vyvráceného nesmyslu o tom, že je OSS/FS zdarma. Cituji některé pasáže (zvýraznil jsem největší perly):

Magická návnada.

Model podnikání s veřejnými zdrojovými kódy OSS tedy nepočítá se zisky z prodeje základních verzí, ty jsou v drtivé většině zdarma. V případě fyzických osob, které obzvláště v České republice a přilehlých asijských zemích poněkud nechápou hodnotu duševního vlastnictví a kradou software, hudbu a filmy ostošest, je nasazení OSS určitě přínosem. Vlastník Linuxu a Open- Office získá dostačující náhradu placených programů, nic neukradne, a firmám typu Microsoftu to neublíží, neboť jsou pro ně zajímaví spíše firemní zákazníci. U větších firem je ovšem nasazení OSS již poněkud diskutabilnější. Tyto subjekty musí dobře vážit takzvaný parametr TCO (Total Costs of Ownership), tedy celkové náklady vlastnictví. V nich je zahrnuta i administrace softwarového vybavení, náklady na udržování aktuální verze a jiné. Skutečný problém se pak může vynořit při nasazení OSS do citlivých oblastí státní správy. (…)

Nenapadnutelný? Omyl.

Zastánci OSS tvrdí, že právě veřejný přístup ke zdrojovým kódům zaručuje bezpečnost díky obrovské mase lidí, kteří program mohou studovat a chyby hledat. To je sice pravda, ale právě v případě státních institucí nebo samosprávy poněkud pokulhává. Stát je specifický zákazník a jeho požadavky na konkrétní úpravy budou zřejmě velmi originální. Procesem tvorby softwaru vznikne hybrid, jehož drtivá většina bude veřejně přístupná a pouze malé fragmenty požadovaných úprav zůstanou utajeny. Každá nalezená chyba pak znamená vyšší riziko než v případě uzavřených programů. U nich se totiž může projevit vzhledem k uniformitě pouze definovaným způsobem. OSS naopak díky neveřejným úpravám může svou zranitelnost v nezveřejněných částech kódu řetězit. Jiným, ještě rizikovějším faktorem je účelové hledání nedostatků v zabezpečení. Kde je psáno, že objevitel zranitelnosti musí nalezený problém zveřejnit? A že jej nepoužije k útoku? Odhalení úniku informací například v podobě osobních dat občanů či utajovaných skutečností pak zanedlouho bude v podstatě nemožné. Informace získané přes neznámou zranitelnost softwaru jsou prakticky zcela anonymní. Trochu úsměvně v těchto intencích zní vyjádření tiskového mluvčího České pošty Vladislava Vančury, který týdeníku EURO řekl: „Náš systém je nenapadnutelný.“ V tom se mýlí. Napadnutelný je každý systém, obzvláště takový, který obsluhují lidé. Vzhledem k nárokům na zkušenost administrátorů linuxových systémů ve snaze ušetřit může dojít fatálním únikům informací z naprosto banálních důvodů, jako je například přetíženost správců systémů.(…)

Autorem je Karel Zaoral, redaktor časopisu Euro, se zaměřením na autoprůmysl. K získání informací o jeho identitě mi Google nepomohl, při telefonickém rozhovoru jsem se dozvěděl, že software je jeho koníček a 17 let amatérsky programuje. Vyznění redakčně zkráceného článku mělo být volání po bezpečnostích auditech software ve státní správě. Při rozhovoru jsem měl dojem, že diskutuji s laikem, který to doufejme nemyslí zle.

Sdílet