Но вот в чем проблема. Мы все время пытаемся оказаться на шаг впереди хакеров, хактивистов, киберпреступников и киберугроз, но на самом деле всегда оказываемся на шаг позади. Как и в случае законодательной дилеммы, вы можете отрегулировать систему, только если что-то уже пошло не так; дилемма кибербезопасности выглядит очень похоже: вы можете отбить кибератаку только после того, как ее обнаружите. Разумеется, существуют способы защитить себя от возможных атак, но известны ли вам все нюансы всех возможностей всех кибератак? Может ли какая-то компания заявить, что она неуязвима?

Нет, но именно банки и платежные провайдеры должны быть неуязвимыми, поскольку очевидно, что финансовая система определяет экономическую жизнеспособность страны и, следовательно, будет находиться на переднем крае атак в международных киберконфликтах. Мне это стало понятно, когда CIO[92 - (англ.) Chief Information Officer – директор по информационным технологиям.] Нью-Йоркской фондовой биржи (NYSE) делал доклад на конференции под моим председательством несколько лет назад и рассказал, что биржа подвергалась кибератаке в то же время, что и Министерство обороны США. Система безопасности министерства была нарушена, биржевая – нет. Тем не менее банки могут многое почерпнуть для себя из опыта кибервойн правительств.

Во время недавних событий на Ближнем Востоке банки подвергались атакам чаще, чем объекты атомной промышленности: ведь банковская система является сердцем экономического здоровья государства. Троянская программа Gauss, нацеленная на кражу больших объемов данных с компьютеров многочисленных пользователей ряда ближневосточных стран, уделяет особое внимание банковской и финансовой информации.

Когда правительства развязывают кибервойны, нацеливаясь на банковские системы, это в какой-то момент вполне может закончиться финансовым крахом. Потенциально подобные события представляют собой большую угрозу, нежели безобидный хактивизм. Вот, исключительно как информациядля размышлений, короткий рассказ о кибератаке на Уолл-стрит:

Шэймин Чжэн наконец закончил работу над своим шедевром. Он создал сетевого червя, который проникнет в сердце американской мечты – Уолл-стрит. Как и в случае атаки израильского компьютерного червя Stuxnet на иранское ядерное оборудование в 2010 году, Чжэна наняли для достижения таких же результатов на NYSE.

На NYSE утверждают, что серверы биржи неуязвимы и могут выдержать куда более мощную и изощренную атаку, чем та, которая поразила системы американского оборонного ведомства. Однако это не так, и у Чжэна есть все необходимое, чтобы доказать это. Его программа не только проникнет в биржевую систему через брешь в безопасности, прикрываясь легитимными операциями Goldman Sachs с использованием платформы высокочастотного трейдинга этого банка, но и найдет лазейку в клиринговой системе Депозитарно-трастовой и клиринговой корпорации (DTCC). Проникнув в клиринговую систему, червь расправится с Америкой.

Чжэн использовал для прикрытия сделки, чтобы высвободить всю разрушительную силу червя. Сначала делается запрос котировки через Goldman Sachs. Далее происходит исполнение заявки. Затем совершенная сделка пройдет клиринг в DTCC. На этом этапе червь будет высвобожден и начнет проникновение в каждую сделку в клиринговой системе.

Это кажется невероятным, но прежде чем все обнаружится, все сделки на фондовых площадках США – не только на NYSE, но и на NASDAQ и других – будут сорваны и потенциально станут недействительными, поскольку DTCC осуществляет расчеты по всем сделкам с акциями и деривативами в Соединенных Штатах. Червь должен обрушить всю систему торговли. Таков был замысел, и Чжэн полагал, что он его воплотил.

Задача не была слишком сложной, поскольку Чжэн не атаковал напрямую ни биржу, ни клиринговую компанию – только Goldman Sachs. А это стало возможным после того, как Чжэн нашел союзника – Сергея Алиенко, который в 2010 году был обвинен в краже информации о торговой платформе Goldman Sachs. В 2012 году обвинения сняли, а суд так и не узнал о том, что Чжэн и его работодатели заплатили Сергею 10 млн долларов за информацию, которой им не хватало.

На самом деле Сергей не крал секретов у Goldman Sachs. Он оставил лазейку в торговой платформе банка, которая позволила Чжэну внедрить червя в систему. Спасибо тебе, Сергей.

Чжэн нажал Enter и затаил дыхание. Червь был в пути. Достигнет ли он своей цели?

Так как же банку защищать себя от хактивистов и киберпреступников?

Настоящим вызовом для банковской системы является необходимость, с одной стороны, защитить свои брандмауэры от атак хактивистов, кибершпионажа и киберкриминала, а с другой – предоставить простой доступ к интернет-банкингу своим клиентам. Это настоящая дилемма.

С одной стороны, всем нужен мобильный доступ к своим счетам и платежам, а с другой – никто не желает болезненных потерь из-за недостаточной защиты этих счетов. Очевидно, что информационная безопасность банка имеет две узловые точки:

• защита банковской информации от атак;

• удобный доступ к банковской информации для клиентов, когда им это необходимо.

Что касается первого пункта, то хактивизм не является здесь проблемой. Массированная DDoS-атака со стороны анонимного сообщества может вызывать беспокойство, но вывод из строя сайта не означает вывода из строя системы в целом. MasterCard и Visa продемонстрировали это во время недавних атак Anonymous. Взлом сайта – это скорее неудобство, чем проблема.

Тем не менее намеренный взлом – это реальная угроза, и банки далеко не всегда могут отреагировать на нее должным образом. В 2011 году хакеры получили доступ к клиентским данным Citibank, что привело к потере как минимум 2,7 млн долларов у 3400 клиентов. Это не слишком большая проблема, и с ней можно справиться, но она говорит о том, что уязвимость существует.