Багато були здивовані, дізнавшись, що програмне забезпечення OpenSSL — корінь проблеми — зараз підтримується тільки лише одним постійним фахівцем і командою волонтерів. Такий підхід характерний для багатьох урядових агентств, організацій, не кажучи вже про пересічних користувачів.
Президент OpenSSL Software Foundation (OSF) Стів Маркесс, розуміючи необхідність більшої підтримки, нещодавно звернувся із закликом до урядів і комерційним організаціям усвідомити важливість і підтримати розробку превентивних заходів, щоб уникнути ще одного Heartbleed. «Загадка не в тому, як завантажені роботою волонтери випустили з уваги цей дефект, а в сталості й регулярності, з якою відбуваються такі інциденти, — зазначив Маркесс в інтерв’ю IBTimes UK. — Команда OpenSSL безоплатно протягом тривалого часу робила багато чого».
Незважаючи на широкий розголос, що супроводжувала масштабні зломи великих компаній і організацій, таких як Нью-Йорк Таймс і Target, деякі експерти вважають, що безпеки у сфері IT не завжди приділяється належна увага.
Ілля Колоченко, гендиректор швейцарської фірми High-Tech Bridge, стверджує, що уразливості і явні загрози часто ігноруються більшістю організацій, які здебільшого зосереджені на більш буденних питаннях ведення бізнесу. «У фокусі уваги цих компаній і організацій, як правило, знаходиться, продуктивність, фінансові надходження, нові комерційні можливості, тоді як IT-безпеку випадає зі списку пріоритетних питань, — пояснює Колоченко. — Коли стався злам Нью-Йорк Таймс, більше 90% видань з аналогічними недоліками в системі сайтів попросту проігнорували цю загрозу».
Але навіть будучи попередженими, такі організації як NASDAQ, Бі-бі-сі і навіть Всесвітній економічний форум в Давосі, не завжди брали до уваги безкоштовну пораду експертів про те, що слід полагодити фундаментальні дефекти в системі.
Після того, як на початку року представники High-Tech Bridge повідомили, що в веб-сайті Всесвітнього економічного форму виявлена пролом, протягом п’яти днів не вживати ніяких дій. Уразливість, що давала хакерам можливість доступу до особистих контактними даними гостей форуму, в тому числі світових лідерів, була усунена лише після того, як у пресі з’явилися публікації, присвячені цій проблемі.
Щоб захиститися від кібератак, Колоченко вважає, що компаніям і бізнес-організаціям необхідно обмінюватися інформацією про загрози, з якими вони стикаються. Однак не завжди в інтересах компаній ділитися такими відомостями зі своїми конкурентами. «Компаніям і урядам необхідно обмінюватися всією інформацією про наявні загрози, — говорить Колоченко, посилаючись на те, що поточна ситуація просто більш вигідна хакерам. — Проблема в тому, що інформація про найбільш небезпечних загрозах не афішується».
Підтвердженням цьому служить і те, що американському Агентству національної безпеки було відомо про наявність Hearbleed задовго до того, як про це дефекті дізналася громадськість. Однак фахівці відомства використовували ці знання виключно у власних цілях.
Таким чином, напрошується висновок, що зайва секретність може — незалежно від чисельності залучених спеціалістів та суми витрачених грошей — завдати шкоди. «І, раз вже ми використовуємо термін« кібервійна», — підсумовує Колоченко. — Так слід визнати, що ми її програємо».