Пятая часть всех кибератак направлена на финансовый сектор, и ожидается, что эта доля будет расти. Поскольку эпизоды взлома систем финансовых инструментов становятся всё более частыми, количественная оценка и измерение рисков неопределённости станут насущными проблемами для всех — от разработчиков и владельцев серверов в дата-центрах, до экономистов и политиков. Уже давно применяются практики, когда внешние агенты приглашаются для поиска уязвимостей системы (багов) в обмен на вознаграждение.
Большинство людей знают, что кибератаки происходят, но мало кто понимает, что количество их удвоилось с 2021 года. Этот рост особо не освещается в общественных СМИ, потому, что прямые потери, о которых обычно сообщалось открыто, были сравнительно небольшими. Тем не менее, эта ситуация может вскоре измениться — риски экстремальных потерь так же велики, как и сам рост попыток несанкционированного проникновения в данные системы. А ведь именно финансовый сектор сейчас особенно подвержен риску взлома. В настоящее время пятая часть всех кибератак направлена на сервисы финансовых инструментов, а ожидается, что эта доля возрастёт кратно в краткосрочной перспективе.
До сих пор «интернет-нападения» финансовом секторе не носили системного характера, но взаимосвязь финансов и технологических аспектов сектора подвергает его стабильность высокому вниманию злоумышленников. Эти риски зависят от типа взаимосвязанности. Например, на технологическом уровне может произойти сбой в работе критически важных служб. В более общем плане сбои могут повлечь за собой недоверие ко всей системе/финансовой организации в целом.
Например, внедрение программ-вымогателей на Промышленный и коммерческий банк Китая оказала влияние на рынок казначейских облигаций США, нарушив торговлю. Такие глобальные последствия усугубляются ещё двумя проблемами: во-первых, нынешний уровень отчётности в финансовом секторе недостаточен, а во-вторых, существующие решения в области страхования не учитывают быстро меняющиеся риски. Страховщикам трудно адаптироваться к постоянному появлению новых изощрённых способов и подходов. Поэтому разработка эффективных границ страхования финансовых учреждений является постоянной проблемой.
Как для страховщиков, так и для застрахованных лиц правильная и эффективная оценка убытков имеет ключевое значение, будь то уже понесённый ущерб или с целью разработки соответствующих страховых решений. Традиционно убытки компании от кибератак могут быть измерены потерями информации, репутации, изменениями рыночной капитализации или производственными потерями. И даже этих категорий уже становится недостаточно. Некоторые методы предполагают тщательный мониторинг для раннего выявления рисков, другие основаны на тестировании системы с использованием краудсорсинговой защиты и искусственно сгененерированных ошибок.
В 2019 году в предложенной швейцарской системе электронного голосования был обнаружен «существенный недостаток». Учитывая опасность возможных манипуляций с голосованием, Федеральный совет приостановил разработку и распорядился о пересмотре системы. Обнаружение атаки было частью публичного теста на проникновение, в ходе которого «этичные хакеры» исследовали программное обеспечение и сообщали о любых уязвимостях в обмен на денежное вознаграждение. Этот тип программ, часто называемый «поиском ошибок» или «краудсорсинговой безопасностью», стал основным инструментом обнаружения уязвимостей в ПО, используемым фирмами и правительственными организациями. Фактически, успех этого метода в последние годы побудил власти систематически внедрять поощрения за обнаружение ошибок для повышения кибербезопасности. Поэтому в будущем предполагается, что этичные хакеры будут искать уязвимости в продуктивных ИТ-системах и приложениях.
Несмотря на свой многообещающий потенциал, эти методы тоже имеют серьёзные недостатки из-за несогласованности стимулов. Во-первых, программы поощрения создают конкуренцию между исследователями, придерживающимися этических норм. Поскольку участие в программе требует больших затрат времени и ресурсов, каждый хакер должен принять стратегическое решение о том, в какой программе участвовать, если таковая имеется. Это создаёт эффект вытеснения, при котором стимулы к участию в определённом проекте снижаются по мере того, как ожидается участие большего числа хакеров. Во-вторых, усилия по сортировке и проверке данных крайне неэффективны — на основных платформах для поиска багов менее 25% заявок являются действительными. В-третьих, интерес и участие в этих программах трудно поддерживать.
Одним из наиболее перспективных способов оценки рисков и потенциального ущерба от кибератак является моделирование контролируемых кибератак в реальных условиях, как это в настоящее время практикуется в рамках стресс-тестирования киберрисков. Процесс тестирования систем, состоит из искусственно созданной киберугрозы на систему, содержащую (1) искусственно внедренные ошибки и (2) потенциальные, но неизвестные «реальные» (органические) баги. При таком подходе поиск ошибок вознаграждается денежным и/или репутационным капиталом, что повышает шансы приглашённых этичных взломщиков обнаружить ошибки и получить вознаграждение. Это должно стать большим стимулом для участия, инициируя более строгое тестирование, чем процесс, в ходе которого можно найти только обычные ошибки, так как позволяет находить не только органические ошибки в любой системе, исправлять их и повышать безопасность системы, но и прогнозировать возможные инъекции, путём добавления искусственных багов.
При этом важность, которую разработчики придают поиску органических ошибок, может варьироваться. Могут быть менее важные баги, которые не сразу ставят под угрозу нормальное функционирование системы, и более опасные, которые необходимо обнаружить, прежде чем они смогут повредить систему. С внедрением искусственных ошибок повышается мотивация к участию, что позволяет преодолеть эффект вытеснения, что, в свою очередь, может привести к сокращению бюджета на вознаграждение. Добавление искусственной составляющей в программный код может также устранить другие недостатки — например, могут помочь в проверке недействительных и поддельных сообщений, позволяя организациям определять приоритетность материалов от тестировщиков, которые также сообщили об искусственных ошибках.
Что касается организации конкурса на практике, то можно представить несколько вариантов его проведения. Например, вознаграждение за искусственные ошибки может отличаться от вознаграждения за органические ошибки. Затем организация должна быть в состоянии доказать участникам, какие ошибки были искусственными, а какие нет. Организации, возможно, также придётся доказать, что в систему действительно был внедрён преднамеренный баг. Варианты требуют надёжных подходов, таких как схемы асимметричного шифрования или проверки с нулевым разглашением. Какой подход является наиболее полезным, будет зависеть от конкретных приложений, а также от репутации и технических возможностей разработчика, который занимается общением с тестировщиками. Следовательно, вставленная ошибка может быть выбрана, если для неё доступно доказательство с нулевым разглашением. Например, проверка с нулевым разглашением требует сложных компиляторов, но ключевое преимущество такой проверки, по сравнению с другими подходами заключается в том, что участники могут проверить наличие искусственной ошибки в начале, а не в конце процесса.
Просмотры: (31)
