تحبذ الهيئات التنظيمية كبح جماح عمالقة التكنولوجيا، لكن أحد متطلبات المفوضية الأوروبية من «مايكروسوفت» يقف وراء انهيار برمجيات «كراود سترايك».
على من يقع اللوم في انهيار برمجيات «كراود سترايك»، الذي عطل ملايين الكمبيوترات في كل القطاعات الصناعية بجميع أنحاء العالم أخيراً؟
كما هو الحال في غالبية حوادث الأمن السيبراني، هناك الكثير من أصابع الاتهام التي تشير إلى الجميع.
فشلت «كراود سترايك» في التأكد من تكامل الملف الذي أرسلته إلى عملائها، ما تسبب في تعطل أجهزة العملاء التي تعمل بنظام «ويندوز». ويبدو أيضاً أنها أرسلته ليستخدمه الجميع في الوقت نفسه، بدلاً من البدء بعدد ضئيل لتحديد المشكلات التي قد تنشأ عن التحديث، قبل نشره على نطاق واسع.
في الوقت نفسه، أتاحت «مايكروسوفت» لـ «كراود سترايك» ومطوري الطرف الثالث الوصول إلى نواة نظام تشغيل «ويندوز»، التي تسيطر على الكمبيوتر بالكامل. من دون هذا المستوى من الوصول، ربما لم يكن لتحديث «كراود سترايك» التأثير نفسه. ولكان من الأيسر إصلاح المشكلة دون الحاجة إلى إعادة تشغيل كل الأنظمة المتأثرة يدوياً.
من الخطورة بمكان منح شركات البرمجيات مثل هذا النوع من الوصول إلى قلب نظام تشغيل ما، إذ يعني هذا إمكانية فقدانك السيطرة سريعاً على الحاسوب الخاص بك، إذا ارتكب أحد مقدمي البرمجيات خطأً أو تعرض للاختراق. لهذا السبب بدأت «آبل» في عام 2020 في إبلاغ مطوري الطرف الثالث أنها لن تمنحهم بعد الآن حق الوصول إلى نواة نظام التشغيل «ماك أو إس»، وربما لهذا أيضاً لم تؤثر مشكلة «كراود سترايك» على أجهزة آبل.
لكن لا يقع الخطأ كله على كاهل «مايكروسوفت» وحدها. فبموجب اتفاق أبرمته الشركة مع المفوضية الأوروبية عام 2009، التزمت «مايكروسوفت» بمنح مطوري الطرف الثالث إمكانية الوصول إلى «ويندوز»، بالقدر نفسه الذي تتمتع به برمجيات الأمن الخاصة بها. وكانت الفكرة هي تمكين شركات برمجيات أخرى من التنافس مع «مايكروسوفت»؛ من خلال ضمان توافق العديد من منتجاتها وخدماتها مع برامج وأدوات خارجية. وهذا هدف جدير بالاهتمام، والعديد من الأحكام الواردة في الاتفاقية معقولة تماماً، مثل اشتراط دعم برنامج «أوت لوك» لتنسيقات الأحداث والمواعيد الشائعة.
رغم ذلك، فإن اتفاق 2009 معيب بصورة كبيرة، لمطالبته «مايكروسوفت» أن تتيح لمطوري برمجيات الأمن السيبراني الوصول إلى جميع واجهات التطبيقات ووظائف البرمجة التي تستخدمها برامج «مايكروسوفت». وهو الشرط الذي يلزم «مايكروسوفت» بتخويل وصول شركات مثل «كراود سترايك» إلى نواة نظامها. وإلى حين تغير هذا الوضع، فمن غير الواضح ما إذا كان بإمكان «مايكروسوفت» تعلم الدرس الأساسي من هذه المشكلة، أو أنه إذا كان بإمكانها تقليل الوصول إلى نواة النظام، مثلما فعلت «آبل» قبل أربعة أعوام.
وبعيداً عن تغيير هذا الاتفاق مع «مايكروسوفت»، تحتاج المفوضية الأوروبية، مثل الهيئات التنظيمية الأخرى، إلى النظر في مخاطر التضحية بالأمن بدعوى المنافسة. ولطالما حذرت شركات التكنولوجيا من أن فتح نظامها للمطورين من الخارج سيأتي على حساب الأمان. لكن يتم تجاهل هذه المخاوف أحياناً باعتبارها مبرراً للسلوكيات المعادية للمنافسة، لكن هناك بعض المقايضات المشروعة بين الأمان والمنافسة.
وقالت المفوضية الأوروبية إنه كي تمتثل «آبل» إلى قانون الأسواق الرقمية للاتحاد الأوروبي، عليها تسهيل الوصول إلى وتنزيل برمجيات من خارج متجرها الرسمي «آبل ستور». وسيتيح هذا مزيداً من المنافسة مع التطبيقات، لكنه ربما يعني تنزيل المستخدمين لبرمجيات غير آمنة لم يتسنى لـ «آبل» فحصها.
ويتطلب تشجيع المنافسة بهذه الطريقة إغلاق أنظمة التشغيل بقدر الإمكان، لأننا قد ينتهي بنا الأمر إلى تنزيل برمجيات من العديد من المطورين المجهولين وغير الموثوقين. ولهذا السبب أعلنت «آبل» تدابير أمان جديدة لنظام تشغيل هواتفها المحمولة في يناير يرمي إلى الحد من الأضرار المحتملة جراء الأكواد المثبتة على هواتف «آيفون» والتي لم تفحصها الشركة. ولهذا السبب، يتعين على الجهات التنظيمية التفكير بروية بشأن مستوى الوصول الذي يصرون أن تمنحه شركات التكنولوجيا للمنافسين ومطوري الطرف الثالث.
ربما نكون على استعداد للتضحية بقدر من الأمان بدعوى مزيد من المنافسة، لكن لا يجب علينا، تحت أي ظرف، أن نضحي بأنوية حواسيبنا.
الكاتبة أستاذة في جامعة «تافتس» ومؤلفة كتاب «سياسة التأمين السيبراني»