Рада Патчів: Зачинити Двері До Того, Як Прийде Небезпека

Кожного вівторкового ранку група жінок сідала з кавою і відкривала звіти, які більшість людей ніколи не прочитає.

Every Tuesday morning, a group of women sat down with their coffee and opened reports that most people will never read.

Вони були інженерами безпеки та менеджерами програм.

They were security engineers and program managers.

Їхня робота полягала у пошуку вразливостей у програмному забезпеченні раніше за зловмисників.

Their job was to find weaknesses in software before attackers did.

Потім їм треба було усунути ці вразливості до того, як вікно можливостей закриється.

Then they had to fix those weaknesses before the window closed.

Звіти описували дірки в системі безпеки.

The reports described holes.

Дірка в системі входу.

A hole in a login system.

Дірка в читачі файлів.

A hole in a file reader.

Дірка в мережевому драйвері.

A hole in a network driver.

Кожна з них була дверима, крізь які міг пройти хтось із поганими намірами.

Each one was a door that someone with bad intentions could walk through.

Жінки уважно читали висновки red-team.

The women read the red-team findings carefully.

Вони читали звіти зовнішніх дослідників, які знайшли ті самі дірки.

They read the reports from outside researchers who had found the same holes.

Потім вони приймали рішення.

Then they made decisions.

Яку дірку треба закрити сьогодні?

Which hole must be patched today?

Яка може почекати два тижні?

Which can wait two weeks?

Яка потребує дзвінка до лікарні ще до того, як патч буде відправлено?

Which needs a call to a hospital before the patch even ships?

Вони вели переговори.

They negotiated.

Команда продукту хотіла більше часу.

A product team wanted more time.

Клієнт спочатку потребував попередження.

A customer needed a warning first.

Дослідник хотів визнання за відкриття.

A researcher wanted credit for the discovery.

Жінки балансували між усім цим, тримали графік на ходу й писали нотатки, що мали стати публічними.

The women balanced all of this, kept the timeline moving, and wrote the notes that would go public.

Нотатки використовували просту мову.

The notes used plain language.

Вони вказували, що саме постраждало.

They said what was affected.

Вони вказували, що робити.

They said what to do.

Вони не викликали паніки.

They did not cause panic.

Вони спонукали до дії.

They caused action.

Потім настав день, коли в інтернеті оголосили про нову атаку.

Then came the day when a new attack was announced on the internet.

Дослідники безпеки показали, як можна використати дірку.

Security researchers showed how the hole could be used.

Зловмисники почали сканувати вразливі машини.

Attackers began scanning for vulnerable machines.

Але для компаній, з якими працювали ці жінки, дірка вже була закрита.

But for the companies these women worked with, the hole was already closed.

Патч було відправлено двома тижнями раніше.

The patch had shipped two weeks before.

Ніхто не помітив катастрофи, якої не сталося.

Nobody noticed the disaster that did not happen.

Вони пішли додому до своїх родин.

They went home to their families.

Вони приготували вечерю.

They cooked dinner.

Вони дивилися новини.

They watched the news.

Світ продовжував крутитися, трохи безпечніший, ніж був.

The world kept turning, a little safer than it had been.

Мораль: Профілактика невидима, і люди, які практикують її найкраще, не залишають жодних слідів катастрофи, яку вони зупинили.

Moral: Prevention is invisible, and the people who practice it best leave no evidence of the catastrophe they stopped.