Rizik povezano s Facebookom i Rusijom povećava zabrinutost oko besplatnih ili otvorenih izvora rješenja.

Upotreba besplatnih ili otvorenih rješenja (otvoreni kod) na IT tržištu obično je uvijek povezana s prednostima kao što su smanjenje troškova i fleksibilnost, no niz slučajeva je podigao razinu zabrinutosti, posebice u pogledu sigurnosti, pri odluci o usvajanju tih sustava. Jedan od najnovijih događaja u tom smislu bila je potvrda, početkom svibnja, o umiješanosti “easyjson”, biblioteke softvera otvorenog koda, s programerima ruske grupe VK, čije djelovanje i glavna uloga se uspoređuju s Facebookom u toj zemlji. Kako se biblioteka široko koristi u kritičnim projektima kao što su Kubernetes, Istio i Grafana, strah je da će biti kompromitirana geopolitičkim ciljevima putem špijunaže ili cyber napada, posebice u osjetljivim sektorima kao što su obrana i financije.

Za Rodriga Gazolu, CEO-a i osnivača tvrtke ADDEE, koja već 30 godina djeluje na tržištu rješenja za upravljanje informacijskom tehnologijom (IT), slučaj “easyjson’ samo je još jedan koji potvrđuje zabrinutost tvrtki zbog rješenja otvorenog koda. “Činjenica da su te tehnološke strukture javne, omogućujući bilo kome (uključujući napadače) da ih proučavaju i traže nedostatke, veliki je faktor rizika, jer većina open source rješenja ne nudi besplatnu službenu podršku, što može ostaviti tvrtke potpuno bez pomoći u kritičnim situacijama, ovisno samo o forumima i zajednici”, tvrdi on.

Gazola navodi druge nedavne slučajeve vezane uz programe otvorenog kôda. U prosincu prošle godine, projekt Ultralytics YOLO, biblioteka umjetne inteligencije otvorenog kôda, bio je kompromitiran putem ranjivosti u skriptama za automatizaciju GitHub Actions. Napadači su iskoristili ovu ranjivost kako bi ubacili zlonamjerni kôd u distribuirane verzije softvera. Ranije, u listopadu 2024., kibernetički kriminalci objavili su stotine zlonamjernih paketa u NPM spremištu, koristeći imena slična legitimnim bibliotekama (tehnika poznata kao typosquatting). Cilj je bio prevariti razvojne programere da instaliraju te kompromitirane pakete, omogućujući izvršavanje zlonamjernog koda u njihovim sustavima.

Prema njemu, ovaj scenarij zabrinutosti izazvao je povećanu potražnju brazilskih tvrtki za rješenjima koja nude proizvođači prepoznati kao sigurni i ekonomični. Uostalom, kada odluče koristiti besplatne alate ili otvorenog koda, organizacije se suočavaju sa složenošću samostalnog razvoja konfiguracije većine sustava, što troši vrijeme i energiju u zamjenu za navodnu korist od smanjenja konačne cijene plaćene za rješenje. Uz to što moraju uzeti u obzir troškove hostinga i održavanja, ako ove otvorene platforme još uvijek predstavljaju rizik od proboja sigurnosti, odnos troškova i koristi je stvarno znatno narušen.   

 Izvršni direktor tvrdi da je otkrio ovo kretanje potrage za proizvođačima na tržištu davatelja IT usluga, nazvanih MSP-ovima, zbog prijemčivosti rješenja kao što su HaloPSA i N-Able, oba dovedena u Brazil putem ekskluzivnog partnerstva između ADDEE-a i globalnih brendova. Prema Gazoli, činjenica da se prodaja proizvoda obavlja u potpunosti u lokalnoj valuti eliminira izloženost dolaru, nudeći financijsku predvidljivost na tržištu koje snažno ovisi o dugoročnim ugovorima i ponavljajućim prihodima.

“Osim što oslobađaju tvrtke zadatka konfiguriranja rješenja, zabrinutosti zbog troškova hostinga i održavanja, partneri kao što su HaloPSA i N-Able osiguravaju da tvrtke ne dožive prekide uzrokovane bilo kakvom vrstom zlouporabe otvorenih i nezaštićenih tehnologija”, objašnjava.

Izvršni direktor ADDEE-a naglašava da je nepostojanje planova za nepredviđene situacije u slučaju neuspjeha ili prijevara počinjenih pomoću programa otvorenog koda obeshrabrilo njegovo usvajanje i potaknulo potragu za otpornijim alternativama koje odgovaraju proračunima.