For mange brugere af computere er valget af operativsystem (OS) ikke et valg. Nye laptops kommer som regel med bundles i form af enten Windows eller Mac OS – eller hvad en arbejdsgivers it-politik nu dikterer (som regel Windows). Software-udviklere er derimod professionelle brugere, og de stiller helt andre krav til et OS med adgangsniveauer, som den almindelige bruger aldrig ville tænke nærmere over. Windows vs. Linux har fået fornyet betydning, og vi skal i det følgende se, hvordan EU’s kommende Cyber Resilience Act, (CRA) påvirker valget af OS i praksis
Artiklen har været bragt i Aktuel Elektronik nr. 8 – 2024 og kan læses herunder uden illustrationer
(læs originaludgaven her)
Af Martin Grossen, direktør for Embedded Software & Cloud, Avnet Silica
Microsofts Windows fra 1983 er et brugervenligt OS med et intuitivt bruger-interface og en bred kompatibilitet med både hardware og software. Windows er designet for at lette pc-brugernes oplevelse på alle niveauer, og det har gjort Windows populært til både kontor- og privatbrug. Linux har derimod sine rødder i de videnskabelige miljøer med sit udgangspunkt i Unix OS. Modsat Windows er Linux et open source-system, der lovligt kan installeres gratis på en hvilken som helst computer, og Linux har altid været rettet mod udviklingsmiljøer, hvor Linux giver meget større adgang til kundetilpasning end Windows.
I mange år har Windows været det kommercielt mest succesrige OS, men har på det seneste tabt terræn til det mobile OS, Android, der bruger en Linux-kerne. Android har nu en 43,35 procents global markedsandel fulgt af Windows med 28,24 procent, iOS med 17,77 procent, macOS med 5,65 procent og Linux med 1,5 procent. Tallene afspejler dog ikke systemernes markedssegmentering. Android har den største markedsandel, men Windows dominerer fortsat desktopmarkedet (73 procent), mens Linux dominerer supercomputermarkedet og web-servere, embeddede systemer og IoT-applikationer.
Pris, support, arkitektur og bruger-interfaces
Både Linux og en stor del af den software, som findes til Linux, kan downloades gratis, hvorimod Windows OS kræver en licens for de fleste versioner afhængig af brugerrettigheder. Gratis udgaver af Windows – som Windows 10 Home – findes, om end med begrænset funktionalitet.
Supporten er vidt forskellig for de to OS’er. Windows har Microsoft i ryggen med solid officiel support og ressourcer både i systemet selv og online, ligesom den store markedsandel sikrer kompatibilitet med en lang række hardware- og softwareprodukter. Linux-support er baseret på samarbejde, troubleshooting og videndeling inden for et ganske omfattende bruger-community, hvor man kan finde svar på spørgsmål i online-fora og på Wiki’erne.
De to OS’er har også vidt forskellige arkitekturer. For Windows er det meste OS-funktionalitet konsolideret i en monolitisk kerne, der arbejder i en privilegeret tilstand. Dette design understreger Windows’ effektivitet og brugervenlighed, men gør også OS’et mere følsomt over for fejl og mulige angreb. Linux’ fleksibilitet og høje grad af kundetilpasning er baseret på en modulær kerne og en mikrokerne ansvarlig for de grundlæggende OS-opgaver. Andre funktioner bliver eksekveret af moduler, som kan downloades, og som arbejder i en ikke-privilegeret tilstand.
Windows’ brugervenlighed er baseret på det intuitive grafiske bruger-interface (GUI), der er konsistent på tværs af versioner, hvilket er let og genkendeligt for slutbrugerne. Interaktion med Linux er derimod mest baseret på et kommandolinje-interface (CLI), der anvender tekstkommandoer og prompts til display og manipulering af information på skærmen. Selv om der findes en række GUI’er til rådighed for brugerne, så har Linux ikke den samme konsistens over de forskellige distributioner. GUI’erne skal derfor downloades og kundetilpasses af brugeren, hvilket kan være udfordrende.
Faktorer som projektkrav, software til rådighed, budget og målgruppe dikterer ofte valget af ét OS frem for et andet. Mange forretningsbaserede udviklingsoperationer (DevOps) anvender open source-software for at realisere målene, og Linux giver designere et væld af værktøjer og pakker, der kan kombineres med egne softwarekomponenter. I mange år har Linux også været et foretrukket OS for designere af embeddede systemer og IoT-produkter, der arbejder med RISC-arkitekturer som de populære Arm-processorfamilier, som har gjort det muligt at udvikle energieffektive produkter. Windows er derimod et velegnet miljø til forretningsbrug med sin adgang til en mængde kommerciel software, et veludviklet support-netværk og tilgængelige, veluddannede ressourcer.
Cyber Resilience Act
EU’s Cyber Resilience Act, (CRA) blev godkendt af EU-parlamentet i marts 2024 og afventer nu blot den formelle godkendelse af Europarådet. Dette nye framework er designet til at håndtere de stigende risici i både ikke-kritiske og kritiske komponenter inklusive ikke-kritiske produkter, som kan interagere med den kritiske infrastruktur. Målet er at imødegå digitalelektronikkens følsomme punkter i såvel hardware som software i såvel IoT– som smarte produkter.
CRA-frameworket stiller ret strenge krav til producenter, som ønsker adgang for deres produkter til det europæiske marked. Producenter skal altså prioritere cybersikkerhed i design- og udviklingsfasen, så produkterne fra starten er sikre og robuste. Elektronikprodukter skal undergå sikkerhedstests og følsomhedsvurderinger med en sporbar udviklingsproces, og producenter skal derfor levere jævnlige sikkerhedsopdateringer og patches gennem et produkts hele levetid.
CRA Compliance
Hvor CRA må anses som værende ganske ”bredspektret”, så er mange af kravene i CRA konsistente med etableret best-practices for frameworks som EU’s Cybersecurity Act (CSA). Derfor handler det primært om at styrke reglerne og sikre kompatibilitet/compliance snarere end at redefinere sikkerhedspraksis. CRA indeholder et klassificeringssystem til kategorisering af produkter i henhold til deres niveau af cybersikkerhed. Højere klasser indikerer en større risiko, der nødvendiggør styrkede compliance-krav. De tre hovedkategorier er:
• Default (ikke-kritisk): Det laveste risikoniveau omfatter hverdagsprodukter med digitale komponenter som fotobehandlingssoftware, smart speakers og hard-drives.
• Critical Class I (lavere risiko): Det er produkter, som har et forhøjet risikoniveau, hvilket inkluderer produkter som firewalls, password-styringer og netværks-interfaces.
• Critical Class II (højere risiko): Produkter i denne kategori er af høj vigtighed og er udsat for meget høje risikoniveauer, da de håndterer følsomme data og/eller interagerer med den kritiske infrastruktur. Eksempler er OS til servere, industrielle firewalls eller hardware i den kritiske infrastruktur.
Klassificeringssystemet afgør compliance med cybersikkerhedsniveauet, og omtrent 90 procent af produkterne indgår i default-kategorien med de laveste krav. For default-compliance skal producenter selv afgøre sikkerheden og underskrive en EU-deklaration for konformitet samt levere teknisk dokumentation. I Class I vil der optræde en øget arbejdsindsats, og producenter skal udføre gennemgribende sikkerhedsvurderinger, anvende specifikke sikkerhedsmodforholdsregler som sikker kodningspraksis samt levere detaljeret dokumentation. Tredjeparts audits kan også komme på tale for at sikre compliance. Class II-produkter skal undergå gennemgribende sikkerhedsvurderinger med implementering af de strengeste sikkerhedsmodforholdsregler som penetrationstest, sikker kodningspraksis, plan for såkaldt ”incident-respons” samt regelmæssige tredjeparts audits.
Det er vigtigt at huske, at CRA er produktbaseret. Det betyder, at mens alle individuelle komponenter i sig selv kan være CRA-kompatible, så skal apparatproducenterne levere bevis for, at deres endelige produkt med en kombination af de CRA-godkendte komponenter også i sin endelige form er kompatibel.
CRA og open source
Klassificeringssystemet har som mål at strømline regulativerne og fokusere på en strengere sikkerhed for de produkter, hvor det for alvor er nødvendigt. Der er dog en vis bekymring omkring open source-løsninger som Linux. Tidlige versioner af CRA har givet usikkerhed om konsekvenserne af open source-modeller. Mange er bekymrede for, at det vil pålægge designere en urimelig arbejdsbyrde i forhold til deres i forvejen begrænsede ressourcer.
Et modsvar fra branchens open source community anerkender betydningen af open source for innovation på samme måde som EU’s mål for digital sikkerhed, og en revideret lovgivning trækker en ny spiller ind i ligningen, en såkaldt ”open source steward”. En open source steward vil få ansvar for support og vedligehold af enhver form for open source-software under dennes jurisdiktion for at sikre, at en open source-software forbliver sikker og funktionel i drift. Konceptet er nyt, og det er endnu ikke klart, hvordan markedernes open source communities vil forholde sig til ordningen, men modifikationen af CRA er en indikation af EU’s forståelse af den økonomiske betydning af open source.
Windows eller Linux?
Som for så mange andre produkter er valget mellem Linux og Windows baseret på mange faktorer. Mens de umiddelbare licensomkostninger taler imod Windows i mange applikationer, så inkluderer TCO (Total Cost of Ownership) setup- og udviklingsomkostninger og kan inkludere behovet for at hyre specialister ind til en given opgave. Karakteristika for applikationen tæller også. Linux’ styrke ligger i udviklingsmiljøet, mens Windows historisk har været rettet mod den mere generelle bruger i hjemmet eller kontoret. I takt med at it-miljøet fortsætter sin vækst, så bliver billedet mere tåget med hver ny OS-implementering med web-services eller embeddede tjenester. Afgørelsen vil ultimativt blive påvirket af den genkendelighed og ekspertise, som designere in-house besidder sammen med de softwareværktøjer og biblioteker, der allerede er i brug.
Betydning af CRA
Sikkerhed er kritisk, og CRA vil lægge endnu et lag af overvejelserne i skødet på elektronikproducenterne. Linux har traditionelt været anset som mere sikker end Windows, primært på grund af mindre angrebsflader, men også fordi den større mængde af Windows-brugere gør Windows til et mere attraktivt mål for hackere.
En demonstreret compliance med CRA kan være lettere med brug af et eget Windows-baseret system sammenlignet med en open source Linux-løsning. Windows leveres preloaded med omfattende og standardiserede sikkerhedspraksisser og et modnet sikkerhedsøkosystem, der omfatter en række sikkerhedsværktøjer, som kan strømline compliance for producenter, især i forhold til Class II-systemer.
Tilsvarende giver Linux’ open source natur en community, som konstant undersøger og forbedrer sikkerheden, men alligevel kan compliance blive mere kompleks for visse producenter som følge af de meget forskellige løsninger i Linux-landskabet. Hvis en lille virksomhed for eksempel udvikler en udtalt kundespecifik Linux-distribution, så kan det give udfordringer i forhold til at overholde Class I- eller II-krav – hvis man sammenligner opgaven med en etableret udbyder af en serverdistribution.
Ultimativt skal designere evaluere CRA i et bredere perspektiv for at overveje faktorer som applikationskrav, behov for kundetilpasning og skalérbarheden af en implementering, når der skal vælges mellem Linux og Windows. For nogle vil Linux’ større fleksibilitet være en styrke, som kan lette CRA-compliance, mens det kan underminere andre produkters anvendelighed, hvor man i så fald nok vil foretrække Windows og en mere standardiseret sikkerhedstilgang. CRA vil dog spille en stigende rolle i kampen mod cyberkriminalitet, og for designere vil det kræve endnu en tankerække, når der skal vælges et operativsystem.
Billedtekster:
Figur 1: Windows og Linux har meget forskellige support-modeller.
Figur 2: Cyber Resilience Act (CRA) skal imødegå følsomhed i sikkerheden og de risici, der er forbundet med implementering og brug af digitale produkter.
