Пропатчивание не сработает и в случае с вещами длительного применения. Цифровой видеомагнитофон мы покупаем каждые пять или десять лет, а холодильник – не чаще, чем раз в 25 лет. На машине мы ездим лет десять, потом продаем ее тому, кто будет водить ее не меньше, а далее она оказывается в стране третьего мира, где служит еще пару десятилетий. Теперь попробуйте включить домашний персональный компьютер Commodore выпуска 1978 г. или запустить VisiCalc[19], выпущенную в том же году, и посмотрите, что произойдет. Мы просто не знаем, как поддерживать ПО 40-летней давности.

Рассмотрим пример с производителем авто. Ежегодно он продает десятки моделей с десятком встроенных в них программ. Даже если предположить, что ПО обновляется раз в два года и компания поддерживает машины не более 20 лет, обновлять пришлось бы от 20 до 30 разных программ. (Для Bosch – поставщика запчастей множеству производителей – эта цифра составила бы больше 200.) Затраты на тестирование и площадь склада были бы колоссальными. А теперь представьте, что случится, если автопроизводители объявят, что отказываются от поддержки моделей старше пяти-десяти лет. Для окружающей среды это имело бы серьезные последствия.

Мы уже становились свидетелями того, как поставщики прекращают писать патчи для старых систем или же эти системы вообще выходят из оборота. Ряд организаций, столкнувшихся с ущербом от WannaCry, продолжали использовать Windows XP – недоступную для обновлений ОС 17-летней давности. (Microsoft перестала поддерживать ее еще в 2014 г.{144}) Windows XP все еще используется в почти 140 млн компьютеров по всему миру{145}, в том числе и в банкоматах{146}. Пропатчивание не касается и широко распространенной корабельной системы спутниковой связи – ранее ее реализовала Inmarsat Group{147}, – несмотря на серьезные уязвимости в системе безопасности. Вообще, это огромная проблема для систем управления производственными процессами: там зачастую используется устаревшее ПО, старые ОС, а обновления очень дороги из-за специфики отрасли. Системы эти могут эксплуатироваться еще долгое время, потому что компании не располагают средствами на пропатчивание.

Проблема усугубляется еще и необходимостью сертификации систем безопасности. Прежде чем все станет компьютером, автомобили, самолеты и медицинские приборы должны пройти многоуровневую проверку. В противном случае они не поступят в продажу. Уже сертифицированный продукт нельзя изменять без новой сертификации. В случае с самолетами ее стоимость превышает $1 млн и на изменение всего одной строки кода уходит целый год. Обязательная сертификация имела смысл в аналоговом мире, когда вещи менялись не так часто и не так сильно. Но сама идея пропатчивания означает, что продукты должны меняться, причем быстро.

Информирование разработчиков. Не каждый, кто обнаружил «дыру» в безопасности, раскрывает полученную информацию – некоторые скрывают, чтобы позже использовать ее в преступных целях – для взлома систем. О том, что проблема существует, мы узнаем по факту преступления. Это «уязвимости нулевого дня». Как правило, ответственные лица стараются оперативно устранять такие сбои. Государственные структуры наподобие АНБ, киберкомандования США и их зарубежных аналогов тоже придерживают информацию. Подробнее мы поговорим об этом в главе 9, а пока давайте просто запомним, что любую обнаруженную, но скрытую от общественности «дыру» – даже если информацию о ней скрыло доверенное лицо или организация, – можно использовать против нас.

Иногда исследователей, считающих нужным сообщить об обнаруженной уязвимости, встречает холодный прием. Новички в компьютерном бизнесе, например производители кофеварок, не обладают опытом работы с исследователями в области безопасности, не знают об ответственном раскрытии информации, о важности разработки патчей. И это всем очевидно. Для компаний – разработчиков ПО создание программ – профильный вид деятельности. Производители холодильников или подразделения корпораций, занятые выпуском холодильников, ориентированы на другой вид деятельности, поэтому составление ПО так и останется для них второстепенным занятием.

Подобно производителям компьютеров 1990-х гг., компании по выпуску умных вещей расхваливают устойчивость ко взломам собственных систем, в случае обнаружения уязвимости отрицают любые проблемы и угрожают исками тем, кто обнародует информацию о проблемах. В 2017 г. Abbott Labs выпустила патч, хотя за год до этого назвала «лживым и недостоверным» первое сообщение об уязвимости в области безопасности (публикация не содержала подробностей о хакерской атаке){148}. Такое промедление допустимо в отношении компьютерных игр или текстовых процессоров, но крайне опасно в отношении автомобилей, медицинского оборудования и самолетов – устройств, способных убить, если их продолжат эксплуатировать с ошибками в ПО. Но должны ли исследователи раскрывать все подробности? Как именно должно выглядеть ответственное раскрытие информации в новой среде, пока никто не понимает.