Риск запуска устаревшего программного обеспечения (часть 2)
- Риск запуска устаревшего программного обеспечения (часть 4)
Введение
В части 1 этой серии мы рассмотрели тревожную статистику, которая указывает на то, что многие люди и компании все еще используют Windows XP, Windows Server 2003, старые версии Internet Explorer и другое программное обеспечение — не только Microsoft, но и всех поставщиков программного обеспечения — то есть старое, менее безопасный, а в некоторых случаях настолько устаревший, что больше не получает обновлений безопасности. Мы также обсудили некоторые последствия для безопасности, связанные с использованием устаревших операционных систем и приложений, в том числе тот факт, что у хакеров было больше времени для обнаружения их уязвимостей, что в них отсутствуют новейшие функции и технологии безопасности и что уязвимости которые будут обнаружены, не будут исправлены, если жизненный цикл программного обеспечения истек. Мы также говорили о том, что это может подвергнуть риску не только устаревшую систему, но и другие компьютеры в той же локальной сети и даже может быть использовано для атаки на компьютеры в других сетях через Интернет в рамках ботнета.
В этой, части 2, мы собираемся поднять тему того, почему, несмотря на все эти последствия для безопасности, люди и компании все еще цепляются за прошлое и продолжают использовать программное обеспечение, которое давно устарело. Затем, в части 3, мы рассмотрим концепцию жизненного цикла поддержки программного обеспечения и то, как она влияет на проблему, и, наконец, мы рассмотрим некоторые особенности опасностей, присущих конкретным устаревшим операционным системам, приложениям и устройствам.
Перемены страшны и трудны
Это самое простое и одно из самых распространенных оправданий, позволяющих программному обеспечению просрочить свое гостеприимство. Хорошо известно, что большинство людей сопротивляются изменениям, даже если они явно полезны. Несмотря на клише, фамильярность чаще порождает комфорт, чем презрение. Люди боятся неизвестного и не доверяют незнакомцам, будь то человек или компьютерная программа.
Мы можем разбить этот страх и недоверие на более мелкие причины. Люди зависят от своих компьютеров для выполнения своей работы и боятся, что новая ОС или критически важное приложение нарушит этот процесс. Что делать, если новая версия работает не так хорошо, как старая? Что, если некоторые из их любимых функций, которые они используют и на которые полагаются, будут удалены (что, как известно, случалось)? Что делать, если интерфейс не так прост в навигации?
С этим тесно связан страх личного унижения. Даже если программное обеспечение работает нормально, работает быстрее и реже дает сбои и по-прежнему имеет все старые функции плюс несколько замечательных новых, что, если эти улучшения делают его настолько сложным, что пользователь не сможет в нем разобраться? Одна вещь, которую люди повсеместно ненавидят, — это то, что их заставляют выглядеть или чувствовать себя глупо, и нет ничего лучше, чем новая и радикально переработанная компьютерная операционная система или программа, чтобы вызвать эту неуверенность в себе и разочарование в себе. Это верно, хотя логически мы знаем, что использование любого нового инструмента всегда связано с некоторой кривой обучения.
Однако обучение требует дополнительного времени и усилий. Многие пользователи, даже если они не сомневаются в своих силах, не хотят прикладывать усилия, чтобы приспособиться к новому способу ведения дел. Они могут знать, что в долгосрочной перспективе новый способ на самом деле сделает их более эффективными и облегчит их работу, но некоторые люди ленивы, некоторые плохо распоряжаются своим временем, а некоторые люди просто полностью перегружены и заняты, и под таким давлением сроков, что у них просто нет места в расписании для ускорения работы с новым программным обеспечением.
Сопротивление изменениям особенно сильно, когда нет видимой мотивации для внесения изменений. Если текущее программное обеспечение работает хорошо, делает то, что оно должно делать, и до сих пор не было никаких негативных последствий для безопасности, многие люди склонны воспринимать это как признак того, что нет причин для обновления. Игроки знают, что представление о том, что прошлые результаты являются индикатором будущих результатов, ошибочно; то есть только потому, что вам повезло, и вы до сих пор избегали эксплойтов или атак на вашу неисправленную ОС, это не значит, что это не произойдет завтра. Удача имеет свойство заканчиваться.
Модернизация похожа на шаткий мост
Один из способов уменьшить страх перед «новым» — познакомиться с неизвестным в безопасной обстановке. Испытание последней версии ОС или программного обеспечения перед тем, как погрузиться в нее на своем собственном компьютере, может убедить вас в том, что новые функции действительно того стоят, что старые все еще существуют и все еще работают, что обучение обходиться на « переосмысленный» интерфейс действительно не займет много времени.
Однако, даже когда люди узнают об этом, некоторые все еще могут не захотеть обновляться. Я слышал это снова и снова: «Мне очень нравится Windows 10 [или новая версия Office, или новый браузер], но я боюсь, что что-то пойдет не так во время обновления и перегрузит мою систему». Этот страх не совсем необоснован; почти все из нас, кто долгое время работал с компьютерами, в какой-то момент столкнулись с неудачным обновлением. Часто бывает проще и безопаснее просто дождаться замены оборудования и купить компьютеры (или новые телефоны) с предустановленной новой операционной системой.
Но это означает, что тем временем вы используете более старую ОС и/или приложения (конечно, во многих случаях версия вашего приложения будет ограничена версией вашей операционной системы, поскольку более новые версии приложения могут не работать на старая ОС). Если ваше оборудование окажется особенно выносливым, а ваш бюджет особенно ограничен, вы можете в конечном итоге оказаться в неприятном положении, увидев объявление о том, что поддержка вашей ОС и / или приложений будет прекращена, что означает отсутствие больше обновлений безопасности. Вы не планировали это таким образом; это просто подкралось к вам, как время имеет способ сделать.
Перспектива апгрейда немного похожа на мысль о переходе по шаткому мосту, чтобы добраться с одной стороны пропасти на другую. Несмотря на то, что с вашей стороны к вам приближаются лесные пожары, а с другой стороны есть дорога в безопасное место, вы не хотите ступить на этот шаткий подвесной мост, чтобы не случилось что-то плохое на пути. Только когда пламя будет лизать им пятки, у некоторых людей, наконец, появится мотивация сделать шаг.
Деньги имеют значение: практические аспекты обновления программного обеспечения (или нет)
Еще одна причина, по которой обычно не удается выполнить обновление до самого последнего и наиболее безопасного программного обеспечения, заключается в том, что это старая проблема: стоимость. Когда лицензии на обновление стоят 100 долларов и более за машину, это может быть значительными затратами для бизнеса и даже для домашних пользователей, у которых есть несколько компьютеров в доме.
Становится все труднее обосновать этот аргумент тенденцией к бесплатным обновлениям ОС; например, Microsoft в настоящее время разрешает обновление систем Windows 7, 8 и 8.1 до Windows 10 бесплатно. Это относится к выпускам Professional, но не относится к выпускам Enterprise; предприятия, у которых есть соглашения о корпоративном лицензировании, могут выполнить обновление в рамках условий контракта. Однако срок действия бесплатного обновления истекает в июле 2016 года. Очевидно, цель состоит в том, чтобы мотивировать тех, кто работает со старыми операционными системами, обновить их раньше, чем позже.
Тем не менее, даже с предложениями бесплатного обновления стоимость обновления выходит за рамки оплаты самого программного обеспечения. В то время как покупка нового оборудования с уже установленной новой и более безопасной ОС устраняет риск неудачного обновления, это означает большие капитальные затраты. И у вас не всегда есть выбор — иногда новое программное обеспечение не будет работать на существующем оборудовании (или, по крайней мере, не будет работать без замены некоторых его компонентов). Этого может быть достаточно, чтобы удержать многих людей и компании от перехода на новое программное обеспечение, даже если они не сомневаются в скорости обучения.
Также важно помнить, что даже если вы можете обновить существующее оборудование до нового программного обеспечения и даже если программное обеспечение доступно бесплатно, время простоя, связанное с обновлением, все равно может быть очень реальным. а также затраты, связанные с потерей/снижением производительности при ознакомлении пользователей с новым ПО. Таким образом, финансовые соображения часто могут быть причиной воздержания от обновления, даже если затраты, связанные с нарушением безопасности, могут во много раз превышать стоимость обновления.
Резюме
В этой части 2 нашего обсуждения рисков, связанных с использованием устаревших технологий, мы рассмотрели причины, по которым люди оправдывают откладывание обновления, даже если они знают, что более новое программное обеспечение обеспечит лучшую безопасность (и даже, в некоторых случаях, когда используемое ими программное обеспечение перестает получать обновления безопасности). В следующий раз, в части 3, мы собираемся углубиться в тонкости жизненного цикла поддержки программного обеспечения и понять, почему так важно быть знакомым с дорожными картами поставщиков для программного обеспечения, от которого зависит ваша бизнес-задача.
- Риск запуска устаревшего программного обеспечения (часть 4)