(Nguồn ảnh: Shutterstock) (Nguồn ảnh: Shutterstock)
Tôi muốn nói rõ ngay từ đầu: đây không phải là lập luận chống lại việc nâng cấp. Tiến bộ là điều quan trọng. Khả năng mới là điều quan trọng. Cải tiến bảo mật là điều quan trọng. Điều nguy hiểm không phải là việc nâng cấp, mà là nâng cấp một cách phản xạ, theo tiến độ của người khác, với hy vọng rằng sự vận động đồng nghĩa với sự an toàn.
Sự khác biệt đó rất quan trọng, bởi vì những sự kiện gần đây đã cho thấy điều gì xảy ra khi sự lựa chọn, tính minh bạch và khả năng phán đoán biến mất một cách lặng lẽ.
Khi Airbus đình chỉ hoạt động của các máy bay thuộc dòng A320 do lỗi hệ thống điều khiển bay liên quan đến bức xạ mặt trời, thoạt nhìn đó có vẻ là một vấn đề nhỏ trong ngành hàng không. Nhưng không phải vậy. Đó là lời nhắc nhở rằng ngay cả những ngành công nghiệp được xây dựng dựa trên kỹ thuật an toàn và kiểm soát thay đổi nghiêm ngặt cũng có thể bị ảnh hưởng bởi rủi ro phần mềm ẩn sâu bên trong các thành phần phụ thuộc quan trọng.
Và nếu điều đó có thể xảy ra trong ngành hàng không, với hệ thống dự phòng, chứng nhận và kỷ luật nghiêm ngặt, thì nó sẽ khiến mọi CIO phải suy nghĩ lại.
Chúng ta đã thấy mô hình tương tự diễn ra ở những nơi khác. Bản cập nhật CrowdStrike khiến hàng triệu máy tính Windows không thể sử dụng được. Sự cố ngừng hoạt động của Cloudflare gây ảnh hưởng đến nhiều khu vực trên internet.
Trong mỗi trường hợp, một thay đổi hoặc lỗi xảy ra ở giai đoạn đầu đã gây ra hậu quả tức thì ở giai đoạn sau. Nhưng vấn đề cốt lõi không chỉ đơn thuần là bản cập nhật. Đó là sự phụ thuộc và những giả định đi kèm với nó.
Các mối phụ thuộc tiềm ẩn và rủi ro kế thừa
Trong trường hợp của Airbus, các máy bay điều khiển điện tử hiện đại phụ thuộc rất nhiều vào các hệ thống phần mềm tích hợp chặt chẽ. Khi các hệ thống đó gặp phải lỗi mà chúng không được thiết kế đủ khả năng chống chịu, sẽ không có cơ chế thoát hiểm đơn giản nào.
Máy bay bị đình chỉ hoạt động không phải vì các kỹ sư bất cẩn, mà vì an toàn đòi hỏi sự chắc chắn, và sự chắc chắn đó yêu cầu phải có sự thay đổi trước khi chuyến bay có thể tiếp tục. Cloudflare kể một câu chuyện tương tự ở quy mô internet.
Cloudflare vận hành mạnh mẽ và cung cấp các dịch vụ quan trọng. Họ không phải là kẻ xấu ở đây. Nhưng một phần lớn internet hiện nay phụ thuộc vào một số ít nhà cung cấp cơ sở hạ tầng dùng chung cho DNS , định tuyến, bảo mật và tính khả dụng.
Các tổ chức thiết kế dịch vụ của mình dựa hoàn toàn vào các nền tảng đó sẽ thừa hưởng các mô hình lỗi của chúng. Khi một dịch vụ cốt lõi gặp sự cố, thường không có sự suy giảm hiệu suất một cách từ từ, mà chỉ là một sự dừng đột ngột.
Đây là thực tế khó chịu của các hệ thống CNTT hiện đại. Sự phụ thuộc không phải là miễn phí. Khi năng lực được thuê ngoài, quyền kiểm soát bị suy giảm. Trừ khi các hệ thống được thiết kế có chủ đích với khả năng phục hồi, đa dạng hóa và phương án dự phòng, các tổ chức sẽ âm thầm gánh chịu những rủi ro mà họ có thể không hiểu hết.
Các nhà lãnh đạo kỹ thuật cần phải nêu rõ họ phụ thuộc vào những gì, những sự phụ thuộc đó gặp trục trặc như thế nào và điều gì xảy ra khi chúng xảy ra.
Sự gián đoạn vượt quá giới hạn an toàn
Đây là lúc sự gián đoạn không còn là sự bất tiện mà trở thành vấn đề an toàn. Bệnh viện, dịch vụ cấp cứu, các công ty tiện ích và thị trường tài chính ngày càng vận hành trên nhiều lớp phần mềm được ghép nối với nhau qua nhiều thập kỷ.
Các hoạt động tích hợp chồng chất, trách nhiệm bị phân tán, và không ai có cái nhìn toàn diện về tác động từ đầu đến cuối. Trong môi trường đó, ngay cả những thay đổi "thường lệ" cũng có thể tiềm ẩn rủi ro thực sự.
Việc cập nhật phần mềm từ nhà cung cấp hoặc sự cố bên ngoài có thể làm chậm quá trình truy cập hồ sơ bệnh nhân, làm gián đoạn hệ thống điều phối hoặc làm gián đoạn các dịch vụ mà mọi người phụ thuộc vào những thời điểm quan trọng. Ngành hàng không cho rằng thay đổi là nguy hiểm cho đến khi được chứng minh ngược lại. Nhiều hệ thống kỹ thuật số vẫn cho rằng thay đổi là an toàn cho đến khi có sự cố xảy ra.
Tuy nhiên, quan điểm chủ đạo vẫn không thay đổi: cập nhật liên tục, hành động nhanh chóng, tin tưởng nhà cung cấp.
Câu chuyện đó được củng cố bởi các động lực khuyến khích. Các nhà cung cấp được thưởng dựa trên đà nâng cấp. Mô hình hỗ trợ, doanh thu và chiến lược sản phẩm đều phụ thuộc vào điều đó. Tác động vận hành tiếp theo, việc kiểm tra lại các trường hợp an toàn và đào tạo lại nhân viên, hoàn toàn thuộc trách nhiệm của khách hàng .
Đó là nơi lòng tham xuất hiện. Không phải là sự độc ác, mà là sự thờ ơ ăn sâu vào mô hình kinh doanh. Những người thúc đẩy sự thay đổi không cảm nhận được hậu quả khi mọi việc đi sai hướng.
Sự lựa chọn, chứ không phải sự tuân phục, mới là động lực thúc đẩy việc nâng cấp.
Việc nâng cấp là tùy chọn. Chúng chỉ nên được thực hiện khi tổ chức muốn có tính năng mới mà chúng mang lại, chứ không phải vì nhà cung cấp tuyên bố một phiên bản nào đó "không được hỗ trợ". Phần mềm không có hạn sử dụng.
Có một niềm tin nguy hiểm ăn sâu trong thực tiễn bảo mật hiện đại rằng một khi bản vá lỗi mới nhất được áp dụng, rủi ro đã được giải quyết và công việc đã hoàn tất. Trên thực tế, vá lỗi chỉ là một trong những phản ứng có thể đối với rủi ro, và đôi khi đó lại là phản ứng sai lầm.
Việc vá lỗi có thể làm giảm nguy cơ bị tấn công, nhưng nó cũng có thể gây ra sự bất ổn, các lỗ hổng bảo mật mới hoặc các kiểu lỗi hoàn toàn mới.
Hình thức phòng thủ hiệu quả nhất không phải là tốc độ, mà là sự hiểu biết. Biết được bạn đang tiếp xúc với những gì, sự tiếp xúc đó biểu hiện như thế nào trong môi trường của bạn, và những biện pháp kiểm soát hoặc giảm thiểu nào thực sự làm giảm rủi ro trong thực tế. Điều đó đòi hỏi bằng chứng, chứ không phải giả định. Thông thường, việc vá lỗi trở thành một nghi thức hơn là một quyết định.
Áp lực pháp lý thậm chí có thể vô tình củng cố hành vi này. Các khuôn khổ được thiết kế để cải thiện khả năng phục hồi đôi khi bị đơn giản hóa thành "áp dụng bản sửa lỗi mới nhất và tiếp tục". Việc tuân thủ trở thành một thủ tục hình thức.
Việc đảm bảo chất lượng trở nên mang tính thực tiễn. Một hệ thống vừa được vá lỗi vẫn có thể chưa được hiểu rõ, giám sát tốt và bảo vệ hiệu quả.
Rủi ro cần được quản lý một cách có chủ đích, sử dụng các biện pháp kiểm soát phù hợp với kiến trúc và mô hình hoạt động của bạn. Đôi khi điều đó bao gồm việc nâng cấp. Thông thường, nó có nghĩa là cô lập, bù đắp, tăng cường bảo mật hoặc giám sát . Quyết định nên dựa trên bằng chứng, chứ không phải nỗi sợ hãi hay áp lực từ nhà cung cấp.
Các CIO có thể không thay đổi được động cơ của nhà cung cấp, nhưng họ có thể thay đổi thái độ của chính mình. Sự nâng cấp thực sự mà ngành công nghiệp cần không phải là một phiên bản phần mềm mới. Đó là sự thay đổi về tư duy, từ tuân thủ sang hiểu biết, từ tốc độ sang nội dung, và từ "vá lỗi" sang "bền vững". Bởi vì những thứ quảng cáo thổi phồng và các hệ thống quan trọng vẫn không thể đi cùng nhau.
