NHS England выпустило срочные директивы о снятии всего публичного программного кода с открытых платформ, таких как GitHub, сославшись на возросшие кибербезопасные риски, связанные с развитием искусственного интеллекта. Это резкое изменение отменяет долгосрочную политику правительства, которая поощряла прозрачность и повторное использование программного обеспечения государственного сектора. Однако специалисты по безопасности утверждают, что это движение является реакцией на медийную шумиху, а не на реальную угрозу, называя его контрпродуктивным и логически несостоятельным.
Сдвиг от прозрачности к секретности
В течение многих лет NHS England следовало стандартным руководящим принципам правительства Великобритании, которые требовали, чтобы программное обеспечение, разработанное за счет государственных средств, было с открытым исходным кодом. Такой подход позволял другим организациям изучать, повторно использовать и улучшать код, снижая дублирование усилий и способствуя инновациям.
В результате значительного изменения политики новые внутренние указания предписывают, что все репозитории исходного кода должны быть приватными по умолчанию. Сотрудникам было поручено перевести существующие публичные репозитории в приватный режим к 11 мая. В руководстве указано, что публичный доступ будет предоставляться только в случае наличия «явной и исключительной необходимости», которая была официально одобрена.
Директива прямо ссылается на Mythos, модель ИИ, разработанную компанией Anthropic, как на основной катализатор этих изменений. Внутренняя записка NHS England предупреждает, что публичные репозитории увеличивают риск раскрытия архитектурных деталей и данных конфигурации, которые могут быть использованы моделями ИИ, способными к масштабному анализу и выводу кода.
«Эта красная линия устанавливает закрытую по умолчанию позицию для кода, пока организация оценивает влияние этих изменений и гарантирует, что любое публичное опубликование кода является осознанным, проверенным и обоснованным решением».
Конфликт вокруг Mythos: шумиха против реальности
Срочность обусловлена недавними сообщениями о том, что Mythos может выявлять уязвимости практически в любом программном обеспечении. Однако независимый анализ предполагает, что угроза может быть преувеличена для надежных систем.
Поддерживаемый правительством Великобритании Институт безопасности ИИ (AISI) исследовал возможности Mythos и пришел к выводу, что он в основном эффективен против «малых, слабозащищенных и уязвимых корпоративных систем». Институт не нашел доказательств того, что защищенные и хорошо поддерживаемые сетевые программы подвергаются значительному риску со стороны этого конкретного инструмента ИИ.
Несмотря на эти выводы, NHS England выбрало превентивную блокировку, временно ограничив доступ для укрепления кибербезопасности, пока они оценивают более широкое влияние быстрых достижений в области ИИ.
Почему это важно: стоимость закрытых дверей
Критики утверждают, что изъятие кода сейчас не только ненужно, но и вредит принципам открытого правительства и лучшим практикам безопасности.
1. Противоречие со стандартами правительства
Новые меры прямо противоречат Стандарту услуг NHS, который подчеркивает, что код публичных услуг, созданных на государственные средства, должен быть доступен для повторного использования. Этот стандарт направлен на сохранение средств налогоплательщиков путем предотвращения дублирования существующих решений.
2. Прозрачность и доверие
Программное обеспечение с открытым исходным кодом способствует общественному доверию и подотчетности. Ярким примером ценности прозрачности является скандал с IT-системой Horizon Почтового ведомства. Если бы код системы Horizon был публичным, недостатки, приведшие к ошибочному преследованию сотен сотрудников почтовых отделений, могли бы быть выявлены и устранены гораздо раньше, предотвратив серьезную судебную ошибку.
3. Принцип «многих глаз»
Теренс Эден, ветеран гражданской службы Великобритании, специализирующийся на открытых данных, утверждает, что программное обеспечение с открытым исходным кодом является более безопасным, поскольку его может проверять глобальное сообщество разработчиков. Он предполагает, что текущая паника обусловлена страхом, а не фактами.
«Возможно ли, что Mythos просканирует репозиторий и найдет ошибку? Да, это почти наверняка произойдет. Будет ли эта ошибка вызывать проблемы безопасности в реальном сервисе NHS? Почти наверняка нет», — говорит Эден. «Я думаю, что кто-то в NHS England поверил в шумиху… и немного паникует».
Бесполезность «закрытых дверей»
Специалисты по безопасности указывают на критическую логическую ошибку в стратегии NHS: код уже находится в открытом доступе. Поскольку программное обеспечение было публично доступно в течение многих лет, его копии существуют в бесчисленных резервных копиях, загрузках и архивах по всему интернету. Удаление его с GitHub не стирает его из существования.
Эден описывает это движение как «запирание конюшни после того, как лошадь убежала». Он отмечает, что большинство программного обеспечения NHS не является критически чувствительным, и усилия по его приватизации дают незначительные преимущества в безопасности, но влекут за собой значительные административные затраты и подрывают партнерские отношения с технологическим сообществом.
Заключение
Решение NHS England о приватизации своего программного кода выглядит как реактивная мера, продиктованная страхом перед новыми возможностями ИИ, а не как продуманная стратегия безопасности. Хотя намерение защитить данные пациентов очевидно, эксперты предупреждают, что такой подход подрывает прозрачность, противоречит государственным стандартам эффективности и мало защищает от решительных злоумышленников. Пока организация продолжает оценивать ландшафт ИИ, дебаты о балансе между безопасностью и открытым управлением остаются неразрешенными.
