Datasikkerhet:

Windows og Linux har svært forskjellige støttemodeller.

Windows vs. Linux – fordeler, ulemper og virkningen av CRA

Er Linux bare for profesjonelle, og Windows for vanlige brukere? Og hvordan påvirker The Cyber Resilience Act valget av operativsystem? Det skal vi se litt på i denne artikkelen.

Publisert

Om forfatteren:

 Martin Grossen er direktør for avdelingen Embedded Software and Cloud i Avnet Silica.

For mange databrukere er ikke valg av operativsystem (OS) noe de må ta stilling til. Nye bærbare datamaskiner leveres med enten Windows eller Mac OS, eller bedriftens IT-policy krever (vanligvis) Windows, og firmamaskiner er låst inn. Derimot har programvareutviklere, andre profesjonelle brukere og seriøse hobbyister svært forskjellige krav til et OS og trenger funksjoner og tilgangsnivåer som ikke gjelder for den gjennomsnittlige bedrifts- eller hjemmebrukeren.

Gjengs oppfatning

På grunn av deres respektive opprinnelse er den gjengse oppfatningen at Windows er for vanlige brukere mens Linux er for profesjonelle, men denne posisjonen er ikke lenger sant da begge systemene har utviklet seg og fortsetter å gjøre det. Denne artikkelen ser på fordelene og ulempene ved hvert operativsystem og vurderer også hvordan EUs kommende Cyber Resilience Act, (CRA), kan påvirke beslutningstakere.

Windows og Linux – opphav og evolusjon

Windows ble først introdusert i 1983 av Microsoft, og er et brukervennlig operativsystem, med et intuitivt grafisk brukergrensesnitt og bred kompatibilitet med maskinvare og programvare. Windows ble designet for å forenkle brukeropplevelsen for PC-brukere på alle ferdighetsnivåer, noe som gjør det populært for generell bruk i hjemmet og på kontoret. Linux, på den annen side, har sine røtter i det vitenskapelige- og ingeniørmiljøet, og er avledet fra det proprietære Unix OS. I motsetning til Windows, er Linux et åpen kildekode-system, som lovlig kan installeres gratis på hvilken som helst datamaskin og har alltid vært rettet mot utviklingsmiljøer, noe som tillater mye høyere nivåer av tilgang og tilpasning enn Windows.

Endringer i markedet

I mange år var Windows verdens mest solgte OS, men har tapt terreng de siste årene ettersom Android, et mobilt OS som bruker Linux-kjernen, har dominert markedet for mobile enheter. Fra April 2024 er Android verdens mest brukte operativsystem, med 43,35 % global markedsandel, fulgt av Windows på 28,24 %, iOS på 17,77 %, macOS på 5,65 % og Linux på 1,5 %. Disse overskriftstallene reflekterer imidlertid ikke markedssegmenteringen til de ulike systemene. Mens Android kan ha den største markedsandelen, dominerer Windows fortsatt i høy grad skrivebordsmarkedet, med over 73 % andel, mens Linux dominerer superdatamaskinmarkedet og også leder an innen webservere, innvevde systemer og IoT-applikasjoner.

Generell sammenligning av Windows og Linux

Pris

Som nevnt ovenfor er Linux vanligvis gratis å laste ned, bruke, endre og distribuere, og en stor del av programvaren tilgjengelig for Linux er også gratis. Derimot krever Windows OS en lisens for de fleste utgaver, med kostnader som varierer avhengig av versjon og bruksrettigheter. Gratisutgaver av Windows, for eksempel Windows 10 Home, er tilgjengelige, men enkelte funksjoner kan være begrenset eller kreve ytterligere betalinger. I tillegg medfører mye av den kommersielle programvaren som er tilgjengelig for Windows også en kostnad.

Støtte

De to OSene har ganske forskjellige støttemodeller. Windows støttes av Microsoft, med omfattende offisiell støtte og tilgjengelige ressurser, både i systemet og online. Dens høye markedsandel sikrer kompatibilitet med et bredt spekter av maskinvare- og programvareprodukter. Linux-støtte er basert på samarbeid, feilsøking og kunnskapsdeling innenfor det omfattende brukerfellesskapet, med svar på problemer tilgjengelig i nettfora og Wikier.

Arkitektur

Arkitektonisk er de to OS også ganske forskjellige. Med Windows er det meste av OS-funksjonaliteten konsolidert til en monolittisk kjerne, som opererer i privilegert modus. Selv om dette designet underbygger Windows’ effektivitet og brukervennlighet, gjør den også operativsystemet mer utsatt for feil og sårbarheter. Linux’ fleksibilitet og høye grad av tilpasning er basert på en modulær kjerne, med en sentral mikrokjerne ansvarlig for de grunnleggende OS-oppgavene. Andre funksjoner utføres av lastbare moduler som kjører i uprivilegert modus.

Brukergrensesnitt og opplevelse

Windows’ brukervennlighet er basert på det intuitive grafiske brukergrensesnittet (GUI), som er konsistent på tvers av versjoner, noe som gjør det enkelt og kjent for sluttbrukere. Interaksjon med Linux er først og fremst basert på et kommandolinjegrensesnitt (CLI), som bruker tekstkommandoer og ledetekster for å vise og manipulere informasjon på skjermen. Mens en rekke GUIer er tilgjengelige for brukerne, har ikke Linux den samme konsistensen på tvers av de forskjellige distribusjonene. GUIene må lastes ned og tilpasses av brukeren, noe som kan være utfordrende.

Åpen eller ikke

Ovennevnte fordeler og ulemper er generelle observasjoner og kan variere avhengig av spesifikke brukstilfeller, applikasjoner og individuelle preferanser. Faktorer som prosjektkrav, tilgjengelig programvare, budsjett og målgruppe vil diktere egnetheten til det ene operativsystemet fremfor det andre. For eksempel er mange bedriftsrettede programvareutviklingsoperasjoner (DevOps) avhengige av åpen kildekode-programvare for å nå sine mål, og Linux gir utviklere tilgang til en mengde verktøy og pakker som kan kombineres med deres egne programvarekomponenter.

I mange år har Linux også vært det foretrukne operativsystemet for utviklere av innvevde systemer og IoT-enheter, og som arbeider med RISC-maskinvarearkitekturer, for eksempel de populære ARM-familiene av prosessorer, for å lage kraftige og energieffektive enheter. Windows, på den annen side, gir et passende miljø for bedriftsbrukere, med tilgang til et bredt spekter av kommersiell programvare, et godt utviklet støttenettverk og lett tilgjengelige, dyktige ressurser.

Cyber Resilience Act, (CRA), har som mål å fokusere på de økende sikkerhetssårbarhetene og risikoene knyttet til digitale produkter.

Cyber Resilience Act

Cyber Resilience Act (CRA) ble godkjent av Europaparlamentet i mars 2024 og venter for tiden på formell vedtakelse av Europarådet. Dette nye rammeverket er designet for å takle de økende risikoene knyttet til ikke-kritiske og kritiske enheter, inkludert ikke-kritiske enheter som kan samhandle med kritisk infrastruktur. Målet er å adressere sikkerhetssårbarheter og risikoer som utgjøres av digitale produkter, inkludert IoT- og smarte enheter, ved å ta for seg maskinvare og programvare.

Krav

Rammeverket stiller strenge krav som produsenter må oppfylle for å få tilgang til det europeiske markedet. Produsenter må prioritere cybersikkerhet under design og utvikling av produkter, for å sikre at de er trygge fra begynnelsen og fri for sårbarheter. Produktene må gjennomgå grundig sikkerhetstesting og sårbarhetsvurderinger, med en sporbar utviklingsprosess, og produsenter må levere regelmessige sikkerhetsoppdateringer og patcher gjennom hele produktets levetid.

Samsvar med CRA

Selv om CRA har et stort omfang, er mange av kravene i samsvar med etablerte beste praksiser eller rammer, for eksempel EUs Cybersecurity Act (CSA). Derfor er det lagt vekt på å håndheve regler og sikre samsvar i stedet for å redefinere sikkerhetspraksis. CRA har et klassifiseringssystem for å kategorisere produkter i henhold til deres cybersikkerhetsrisiko. Høyere klasser indikerer en større risiko, noe som krever økte samsvarskrav. De tre hovedkategoriene er:

  • Default (Ikke-kritisk): Den laveste risikokategorien inkluderer hverdagsprodukter med digitale komponenter, som bilderedigeringsprogramvare, smarthøyttalere og harddisker.
  • Kritisk klasse I (mindre risiko): Dette er ting som har et høyere risikonivå og inkluderer elementer som brannmurer, passordbehandlere og nettverksgrensesnitt.
  • Kritisk klasse II (høyere risiko): Elementene i denne kategorien er av største betydning og har et betydelig risikonivå. De håndterer ofte sensitive data eller samhandler med kritisk infrastruktur. Eksempler inkluderer OS for servere, industrielle brannmurer eller maskinvare i kritisk infrastruktur.

Klassifiseringssystemet bestemmer overholdelsesnivået for cybersikkerhet, der 90 % av produktene faller under «default», eller standardkategorien, som har de minst strenge kravene. For standardsamsvar vil produsenter selv vurdere sikkerheten, skrive en EU-samsvarserklæring og gi teknisk dokumentasjon. I klasse I vil det være en økning i arbeidsmengden, og produsenter må utføre grundigere sikkerhetsvurderinger, vedta spesifikke sikkerhetstiltak som sikker kodingspraksis og oppbevare detaljert dokumentasjon. Tredjepartsrevisjon kan også være nødvendig for å sikre samsvar. Klasse II-produkter må gjennomgå grundige sikkerhetsvurderinger og implementere strenge sikkerhetstiltak, for eksempel penetrasjonstesting, sikker kodingspraksis, hendelsesresponsplaner og regelmessige tredjepartsrevisjoner.

Må fremlegge bevis

Det er viktig å huske at CRA også er produktbasert. Dette betyr at selv om det er mulig for alle individuelle komponenter i et produkt å være individuelt CRA-kompatible, må utviklere fremlegge bevis på at deres endelige kombinerte produkt også er kompatibelt.

CRA og åpen kildekode

Dette klassifiseringssystemet har som mål å effektivisere regelverket og fokusere på strengere sikkerhetstiltak for produkter som virkelig trenger dem. Imidlertid er det vedvarende bekymringer angående løsninger basert på åpen kildekode, for eksempel Linux. Tidlige versjoner av forskriften har reist betenkeligheter rundt innvirkningen på åpen kildekode-modellen. Mange er bekymret for at det kan påføre utviklere en uhåndterlig byrde, som de dermed kan slite med å overholde på grunn av begrensede ressurser.

«Åpen kildekode-forvalter»

Som svar på tilbakemeldinger fra åpen kildekode-fellesskapet og anerkjennelse av viktigheten av åpen kildekode for innovasjon og EUs mål om digital suverenitet, introduserte den reviderte lovgivningen en ny økonomisk aktør, «åpen kildekode-forvalteren». En "åpen kildekode-forvalter" vil ha ansvaret for å støtte og vedlikeholde all åpen kildekode-programvare under sin jurisdiksjon, for å sikre at den forblir sikker og funksjonell for operasjonell bruk. Selv om konseptet er nytt og det gjenstår å se hvordan åpen kildekodesamfunnet vil ta det i bruk, er denne modifikasjonen av CRA en indikator på EUs forståelse av den økonomiske betydningen av åpen kildekode.

Windows eller Linux?

Som med enhver profesjonell beslutning om programvare, vil valget mellom Linux og Windows være basert på mange faktorer. Mens forhåndslisenskostnader kan se ut til å tale mot Windows for mange applikasjoner, inkluderer de totale eierkostnadene oppsetts- og utviklingskostnader og kan inkludere behovet for å ansette spesialistressurser. Egenskapene til applikasjonen er også viktige. Hovedstyrken til Linux har vært i utviklingsmiljøer, mens Windows historisk sett har rettet seg mot den generelle brukeren, i hjemmet eller på kontoret. Etter hvert som IT-miljøet fortsetter å utvikle seg, blir bildet uskarpt ettersom hvert operativsystem griper inn i det andres rom, som med webtjenester og innvevde enheter. Avgjørelsen vil til slutt bli påvirket av kjennskapen til og ekspertisen til interne utviklere og ingeniører, sammen med utvalget av programvareverktøy og biblioteker som allerede er i bruk.

Virkningen av CRA

Sikkerhet er en kritisk vurdering, og CRA vil bety et ekstra lag med vurderinger for mange produsenter. Linux har tradisjonelt blitt sett på som sikrere enn Windows, delvis på grunn av at OS-designet gir mindre angrepsoverflate, og også fordi den større brukerbasen til Windows gjør det mer målrettet for trusselaktører.

Å demonstrere samsvar med CRA kan være enklere når du bruker det proprietære Windows-systemet i motsetning til åpen kildekode Linux. Windows leveres forhåndslastet med omfattende og standardiserte sikkerhetspraksiser, med et modent sikkerhetsøkosystem som inkluderer en rekke sikkerhetsverktøy, og som et resultat kan dette strømlinjeforme samsvarsarbeidet for produsenter, spesielt når de arbeider med klasse II-systemer.

Kan bli komplekst

På samme måte, mens Linux’ åpen kildekode-natur fremmer et fellesskap som stadig gransker og forbedrer sikkerheten, kan overholdelse for noen produsenter være mer kompleks på grunn av Linux-landskapets mangfoldige natur. For eksempel kan et lite selskap som lager en svært tilpasset Linux-distribusjon ha flere utfordringer med å oppfylle kravene i klasse I eller II sammenlignet med en stor leverandør med en veletablert serverdistribusjon.

Kort eller lang vei til samsvar

Til syvende og sist må utviklere evaluere CRA som en del av en bredere evaluering som tar hensyn til faktorer som applikasjonens krav, tilpasningsnivået som trengs og omfanget av distribusjon, når de velger mellom Linux og Windows. For noen vil Linux’ større fleksibilitet være hovedstyrken, for andre vil det føre til en lengre vei til CRA-overholdelse, noe som undergraver produktets levedyktighet, og i disse tilfellene vil utviklere sannsynligvis foretrekke Windows for sin mer standardiserte sikkerhetstilnærming. Etter hvert som vi går fremover, vil CRA spille en avgjørende rolle i bekjempelsen av nettkriminalitet, og for utviklere som velger et operativsystem, vil det være en viktig faktor å vurdere for å sikre produktsuksess.

Powered by Labrador CMS