Brytyjska służba zdrowia, NHS, podjęła nerwową decyzję: w trybie pilnym wycofuje swoje oprogramowanie z publicznego dostępu. Powód? Strach przed tym, że sztuczna inteligencja wykorzysta otwarty kod, by przeprowadzić wielkoskalowe ataki hakerskie. To ruch, który w świecie IT wywołał falę niedowierzania i oskarżeń o czystą panikę.
Dlaczego nagle zamykają dostęp?
Do tej pory NHS działało zgodnie z zasadą „publiczne pieniądze, publiczny kod”. Oprogramowanie finansowane przez państwo trafiało na GitHub, co pozwalało programistom na całym świecie wspólnie je rozwijać i naprawiać błędy. Teraz jednak urzędnicy nakazali zamknąć wszystkie repozytoria do 11 maja.
Bezpośrednim katalizatorem tej decyzji okazał się model AI o nazwie Mythos. W kręgach bezpieczeństwa mówi się, że ta sztuczna inteligencja potrafi błyskawicznie skanować tysiące linii kodu w poszukiwaniu luk, których nie zauważyłby człowiek. W NHS uznano, że to „czerwona linia”, której nie mogą przekroczyć.
Czy to ma sens, czy to tylko technopaniek?
Eksperci od cyberbezpieczeństwa pukają się w czoło. Brytyjski instytut ds. bezpieczeństwa AI (AISI) sprawdził możliwości modelu Mythos i okazało się, że owszem, radzi on sobie z atakami, ale głównie na słabo zabezpieczone systemy firmowe. Dobrze napisany kod nie musi bać się AI.
- Transparentność: Otwarty kod to zaufanie. Gdyby systemy takie jak słynny Horizon (który zniszczył życie wielu niewinnym ludziom) były jawne, skandale wyszłyby na jaw znacznie szybciej.
- Bezpieczeństwo przez społeczność: Tysiące niezależnych programistów sprawdzających kod to zazwyczaj lepsza tarcza niż zamknięte drzwi w urzędzie.
- Spóźniona reakcja: Kod, który był w sieci przez lata, został już pobrany w tysiącach kopii. Zamykanie go dzisiaj przypomina zamykanie stajni, gdy koń już dawno uciekł.
Czy Twoje dane są bezpieczniejsze, gdy kod jest ukryty?
Wiele osób zakłada, że „ukryte” znaczy „bezpieczne”. W informatyce to mit, znany jako security by obscurity. Jeśli haker chce się włamać, nie potrzebuje wersji publicznej – zdobędzie ją poprzez phishing lub błąd w konfiguracji sieci. Zamknięcie dostępu dla programistów-społeczników po prostu zwalnia tempo naprawiania błędów w systemie.
Moja rada: Jeśli korzystasz z aplikacji rządowych lub medycznych, zawsze sprawdź, czy mają włączoną weryfikację dwuetapową (2FA). To znacznie skuteczniejsze zabezpieczenie przed atakiem niż chowanie kodu wewnątrz organizacji.
Szczerze mówiąc, czuję, że NHS uległo marketingowemu szumowi wokół AI, zamiast skupić się na realnych zagrożeniach. A co Wy o tym myślicie – czy otwarte oprogramowanie w placówkach publicznych to klucz do jakości, czy otwarte zaproszenie dla cyberprzestępców?
