Устаревшие технологии до сих пор широко распространены во многих отраслях. Это может приводить к сбоям в работе бизнеса, кибератакам и даже проблемам с общественной безопасностью, считают опрошенные порталом InformationWeek эксперты.
Мы все слышали страшные истории: Windows 7 в гоcорганах, критически важные системы на мэйнфреймах, которые нельзя отправить на пенсию, — но сколько еще десятилетий это может продолжаться? В какой-то момент технологии устаревают слишком сильно, чтобы быть практичными или хотя бы безопасными.
Один из примеров — отрасль критической инфраструктуры. По словам Эриха Крона, специалиста по безопасности платформы KnowBe4, которая занимается человеческой составляющей кибербезопасности, старое оборудование, используемое для управления энерго-, водоснабжением и другими критически важными инфраструктурными сервисами, устарело, и его модернизация может быть сложной или дорогостоящей. Хотя «железо» может быть рассчитано на 20, 30 или даже 50 лет работы, прежде чем потребуется его капитальный ремонт или замена, технологии, управляющие этими системами, быстро устаревают.
«Для критически важных систем даже модернизация некоторого оборудования может оказаться сложной задачей. Многие из этих систем рассчитаны на отказ, однако если резервная система будет выведена из сети для обновления или модернизации, то система окажется под угрозой критического сбоя, поэтому такая модернизация может быть сопряжена с риском, — говорит Крон. — Планирование и тестирование для модификации и обновления — это критически важная часть модернизации нашей критической инфраструктуры. Если не провести тщательное планирование и тестирование, население может надолго остаться без критически важных сервисов, таких как водо- или электроснабжение».
Промышленные системы управления уже давно находятся в центре внимания поставщиков и консультантов по кибербезопасности, поскольку в зависимости от их конструкции и размещения они могут быть подвержены кибер- или физическому взлому.
«Вместо того чтобы заменять все подряд, следует подумать о том, как защитить то, что сейчас работает. Изолирование систем управления и их сети и предоставление очень ограниченного доступа может значительно повысить безопасность систем, — говорит Крон. — При разработке и изменении методов доступа к системам, особенно удаленного, а также при регулярном проведении тестов на проникновение необходимо консультироваться с экспертами по кибербезопасности. Поставив современные системы и средства контроля безопасности перед старыми, организации получат больше шансов не допустить злоумышленников к этим устаревшим системам».
В организациях, просуществовавших много десятилетий или более века, могут быть установлены настолько старые системы, что их языки программирования или аппаратное обеспечение забыты всеми, кроме нескольких человек. Документация часто отсутствует или настолько устарела, что практически бесполезна.
«Я знаю один случай с медицинским оборудованием, когда роботизированная рука, используемая для тестирования, управлялась старым
Действуйте до наступления кризиса
Слав Кулик, генеральный директор и соучредитель софтверной компании Plan A Technologies, рассказывает, что его сотрудники видели несколько «совершенно невероятных» примеров устаревших технологий, которые давно пора было отправить на пенсию.
«Ничто не вечно. Технологии, оставленные без присмотра, стареют до такой степени, что становятся непрактичными и тем более ненадежными или даже небезопасными, — говорит он. — На первый взгляд пренебрежение этим легко объяснимо. Денег и времени не так уж много. Обновление ПО, которое вроде бы работает без сбоев, не является особенно захватывающей инициативой, поэтому технологии становятся болезненно устаревшими».
По мере того как задержки продолжаются, риски возрастают. Тем не менее, если программное или аппаратное обеспечение все еще работает, легко стать жертвой ложного чувства безопасности. Владельцы и руководители компаний считают, что могут подождать еще немного с решением проблемы, пока правда не станет слишком очевидной, чтобы ее игнорировать.
«К этому времени часто теряются данные, происходят сбои в работе систем, нарушается безопасность, и все остальные неприятные вещи, которых боится каждый ИТ-специалист, начинают сбываться, — говорит Кулик. — Самое печальное, что эти проблемы обычно можно предотвратить. Это похоже на то, как если бы вы почувствовали странную боль, но не пошли к врачу, чтобы провериться. Небольшая профилактика на ранней стадии часто позволяет устранить то, что в противном случае может стать опасным для жизни».
Чтобы избежать такой участи, он предлагает ИТ-отделам сделать следующее:
- Уточните срок службы устаревшего оборудования. Если вы этого не сделаете, то в будущем вас ждет неприятный сюрприз.
- Регулярно проводите технический аудит. В противном случае вы рискуете остаться в неведении.
- Разбейте работу на этапы. Мысль о масштабном ремонте часто вызывает панику. Но поэтапное решение проблемы позволяет делать более мелкие шаги, благодаря которым организация сможет добиться стабильного прогресса в приемлемом темпе.
- Прислушайтесь к данным. Подход, основанный на данных, поможет расставить приоритеты и определить, где модернизация наиболее актуальна. Возможно, вы даже обнаружите недоиспользуемые ресурсы, что станет хорошей новостью в непростое время.
- Будьте в курсе новых тенденций и инноваций. Некоторые команды не имеют ни малейшего представления о том, что уже доступно. Они продолжают делать все так, как делали 25 лет назад, упуская бесчисленные возможности для повышения эффективности, безопасности, масштабируемости, снижения затрат и других улучшений.
- Вовлеките конечных пользователей. Активно получая отзывы конечных пользователей, вы можете быть уверены, что создаете то, что нужно. Это также поможет вам быстро выявлять любые проблемы, которые могут возникнуть в ходе модернизации.
«Следите за тем, чтобы у вас не сложилась культура, при которой вы обращаетесь к этим вопросам только после возникновения проблемы. Вместо этого регулярно задавайте вопрос: „Что делается для того, чтобы обновить наше устаревшее оборудование или хотя бы убедиться, что оно по-прежнему функционирует должным образом?“. Если никто не знает ответа, это повод для беспокойства, а если никто даже не знает, как найти ответ, пора обратиться за помощью!», — советует Кулик.
Остерегайтесь узкоспециализированных систем
Консультант по кибербезопасности и технологиям Майкл Хассе говорит, что первопричиной проблем с устаревшими системами обычно являются узкоспециализированные системы от сторонних поставщиков. Эта проблема особенно распространена в производственном секторе, а также в сфере физической безопасности, например, в системах контроля дверей, в связанных с охраной природы системах, таких как HVAC, в системах промышленного контроля и медицинском оборудовании.
В этих отраслях есть несколько дорогостоящих поставщиков, предлагающих решения «все в одном», и ряд менее дорогих вариантов, которые вполне подходят для решения поставленных задач.
«Загвоздка в том, что специализированные системы предполагают специализированные процессы разработки и, особенно в случае с безопасностью жизнедеятельности, довольно много нормативных документов, через оформление которых необходимо пройти, прежде чем продукт будет продан, — говорит Хассе. — В итоге эти поставщики просто не успевают за темпами изменения технологий. Поэтому они склонны игнорировать новые разработки до тех пор, пока их не заставят это сделать, и тогда может пройти еще несколько лет, прежде чем продукт можно будет внедрить у своих клиентов».
Тем временем команды технической поддержки пытаются справиться с ситуацией как можно лучше, часто предпочитая полностью изолировать эти системы или, если они по каким-то причинам должны быть подключены, идя на крайние меры, чтобы контролировать разрешенные соединения.
«Большая ирония заключается в том, что стоимость устранения проблем с продуктами низкого качества на более поздних этапах их жизненного цикла значительно превышает экономию, полученную в результате первоначального выбора их для использования. Это усугубляется, когда с ними вообще не работают, что потенциально может привести к нарушениям и реальному ущербу, — говорит Хассе. — Одним словом, долгосрочная поддержка и безопасность должны быть одними из важнейших соображений при выборе поставщика, при этом следует внимательно следить за его прошлым послужным списком в этом отношении».
Заключение
Нередко устаревшие технологии не могут получить поддержку со стороны поставщика. Аналогичным образом, собственные устаревшие системы могут пострадать из-за того, что специалисты, создавшие их, больше не доступны, или навыки, необходимые для работы с ними, редки и малодоступны. И хотя организации строят вокруг этих систем и поверх них, например, для обеспечения мобильного доступа или более современных возможностей, эти технологии не будут существовать вечно.
Реальные вопросы заключаются в том, как долго прослужит устаревшая технология и как компания, которой она принадлежит, сможет добиться ее беспроблемной модернизации?