Сколько может стоить ошибка в программном коде, случайно сделанная немецким программистом? Оказывается, ущерб от такого бага вполне способен достичь $500 млн. Речь идет об уязвимости Heartbleed в криптографической библиотеке OpenSSL. Уязвимость затронула примерно две трети всех сайтов, работающих по протоколу HTTPS.
Сумма ущерба включает в себя, в том числе, издержки на оплату труда сотрудников, проводящих работу по обслуживанию сайтов. Им пришлось обновлять библиотеку, генерировать новые ключи, обновлять сертификаты, проводить дополнительный аудит безопасности.
Апгрейд пришлось проводить на большинстве серверов Linux и на других устройствах, хотя для некоторых из них патчи до сих пор не доступны. Например, для мобильных устройств на операционной системе Android 4.1.1.
Еще один пример — сеть анонимайзеров Tor. 16 апреля, более чем через неделю после сообщения о баге Heartbleed, разработчики выявили 380 серверов, на которых баг так и не был исправлен. Это примерно 12% всех серверов, работающих в качестве входящих и исходящих узлов в сети Tor. Их пришлось отключить.
Еще одна статья ущерба — дополнительный трафик от возросшего списка аннулированных SSL-сертификатов. Для одной только компании Globalsign (клиент облачного провайдера CloudFlare) ущерб от увеличения трафика оценивается в $400 тыс.
К затратам на работу персонала нужно приплюсовать потенциальный ущерб от украденной информации, которая могла быть похищена в первые дни после публикации информации об уязвимости. Каждая компания должна быть готова, что секретные данные о ее клиентах всплывут в открытом доступе в ближайшее время.
Учитывая все вышесказанное, оценку ущерба в $500 млн можно назвать даже скромной. Реальный ущерб вполне может оказаться и больше, чем полмиллиарда.
