Поможет ли блокчейн предотвращать киберпреступления?

Могут ли блокчейн или другие технологии распределенного реестра  предотвратить атаки на критические точки мировой финансовой системы?

Банки используют для обмена информацией между собой стандартизированные электронные сообщения, которые включают в себя код и идентификаторы, и это своего рода финансовый язык. Он позволяет совершаться финансовым платежам, а деньгам путешествовать между счетами в разных странах мира.

Там есть встроенная система проверок и балансов, свои правила, а также процедуры, выполнение которых обязательно с точки зрения закона, а также люди, которые следят за тем, чтобы в системе не случалось чего-либо необычного. Транзакции проверяются через специальную базу данных, в которую включена секретная информация о преступниках и тех, кто находится под санкциями правительства. И сотни миллиардов долларов в любой момент времени находятся под угрозой — что не удивительно, если учесть, насколько сложной является система.

Но даже со всеми этими крепостями в мире финансов и армией специалистов, которые следят за денежными потоками, опять и опять хакеры находят способы проникнуть в систему и безнаказанно покинуть её с крупной суммой денег.

В этом году произошел один из таких крупных и дерзких грабежей. Неизвестный украл примерно $81 миллион со счетов Центрального Банка Бангладеш, главного финансового учреждения страны, которые принадлежали отделению Федерального резерва в Нью-Йорке. Организаторы смелого плана нацелились на ни много ни мало — на $1 миллиард, но банкиры в Нью-Йорке вовремя спохватились — правда, им просто сопутствовала неожиданная удача.

И вот что случилось.

Грабёж

Расследование ещё идёт полным ходом, но пока все заняты тем, что перекладывают свою вину и позор на других. Отделение Федерального резерва в Нью-Йорке утверждает, что проверило и отклонило большинство мошеннических запросов, которые они получили. Киберпреступники послали 35 запросов в Нью-Йоркское отделение Федерального резерва, якобы из банка Бангладеш. Общая сумма запросов была на 1 миллиард долларов, но прошли только некоторые из них. Федеральный Резерв в Нью-Йорке каждый день обрабатывает международных платежей на $800 миллиардов, так что в этом контексте $58 миллионов выглядят относительно небольшой суммой.

Что такое — «мы отклонили большинство мошеннических запросов?» Их можно либо отклонить, либо нет. У Федерального резерва в Нью-Йорке рыльце в пушку, поэтому они обвиняют банк Бангладеш. Хотя и сами могли бы заметить, что за прошлый год банк Бангладеш делал в среднем два платежа в месяц, предназначенных организациям —  а тут вдруг 35 платежей за день, причем адресованных частным лицам.

SWIFT, банковская сеть для обмена сообщениями, состоящая из необходимого для этого программного и аппаратного обеспечения а также комплексов систем безопасности, тоже провинились. Эта система обеспечивает 25 миллионов связей каждый день между более чем 10 000 банками и корпорациями. Критики говорят, что вот уже многие годы SWIFT не делает ничего, чтобы улучшить безопасность своей сети. SWIFT стоило бы инвестировать в новые технологии, чтобы наконец-то сделать свою сеть абсолютно пуленепробиваемой.

Банку Бангладеш тоже есть, о чем рассказать. Их система была скомпрометирована, и некоторые говорят, что безопасности в этом банке не уделялось много внимания. Хакеры смогли установить вредоносное программное обеспечение за месяц до атаки, которую они провернули в феврале.

Банковские служащие не контролировали свои транзакции онлайн, и единственным способом, которым они могли бы проконтролировать состояние системы, это распечатка сообщений, которые пересылаются через сеть SWIFT. Хакеры отключили функцию печати и её никто не починил до следующего дня, пока из Нью-Йорка не позвонили и не сообщили о мошенничестве.

Кроме того, время ограбления было тщательно спланировано. Хакеры переслали поддельные инструкции в четверг, и в то время, как Федеральный резерв переслал по ним деньги, служащие банка в Бангладеш ушли на выходные, которые продолжались пятницу и  субботу. В то время, как в Бангладеш удалось починить функцию печати и выяснить, что же происходит, начались выходные в Нью-Йорке. Когда в понедельник Федеральный резерв пытался остановить перевод, этому помешало празднование Китайского нового года на Филиппинах, которые и стали конечной остановкой для украденных денег.

Счастливая случайность

35 мошеннических сообщений на пересылку 1 миллиарда долларов  сначала шли с пропусками некоторой важной информации, поэтому отклонялись серверами ФРС. Хакеры быстро исправили ошибку и начале пересылку уже исправленных писем. Пять из них были одобрены. Остальные были отклонены – согласно ранним отчётам – благодаря неожиданности и «счастливой случайности», по-другому не скажешь. Конечным пунктом назначения платежа, а именно банком на Филиппинах был банк, который находится на «Юпитер стрит.» В системе ФРС сработала автоматическая защита, отклоняющая платёж, поскольку «Юпитер» это название иранского нефтяного танкера, который находится под санкциями США. Сам банк при этом не вызывал никаких подозрений.

Общая уязвимость сети

Неприятная правда состоит в том, что все сети, а особенно те, по которым передаются деньги, являются объектом пристального внимания кибер преступников, которые лучше подготовлены и организованы, чем когда-либо прежде.

Эти преступники сейчас имеют доступ к обширным ресурсам, пользуются подкупом должностных лиц и у них нет моральных стимулов отказываться от многомиллионного воровства. К тому же банки предпочитают молчать, если у них пропадают какие-то вещи или деньги, чтобы не ронять свой имидж. А им нужно делиться информацией и сотрудничать с целью расследования преступлений.

Большое бангладешское ограбление было работой опытных преступников, которые знали многое о системе, при этом избегали сильных защит и ориентировались на самые слабые звенья мировой платёжной системы. Возможно, эти же хакеры ответственны за более ранее ограбление на $12 миллионов, которые ушли из банка Эквадора и не дошли до банка Wells Fargo. Эти два банка сейчас бесплодно выясняют отношения в судах.

Компания по безопасности Symantec предположила, что это дело рук хакерской группировки Lazarus, которая известна тем, что успешно напала на Sony Pictures в 2014 году, а также тем, что она спонсируется правительством Северной Кореи.

Блокчейн и распределенные реестры

Концепция блокчейна была разработана, чтобы поддержать децентрализованную систему цифровой валюты (Биткоин), однако мировая финансовая система работает централизованно с «фиатными» валютами, которые выпускаются правительством и являются в стране законным средством платежа. Децентрализованные системы не требуют доверия к какому-либо посреднику и не имеют центральной власти,  а решения принимаются на основе логики согласия, запрограммированной в системе.

Блокчейн ведёт неопровержимую и неизменную запись всех транзакций, что позволяет установить владельца и подтвердить его право пересылать биткоины. Транзакция в биткоинах проверяется с помощью сети компьютеров и узлов, которые и создают сеть цифровой валюты. Наличие блокчейна гарантирует автономность цифровой валюты, так как здесь все транзакции делаются автоматически.

Распределённые реестры имеют гораздо более широкое определение. В то время, как блокчейн был первоначально разработан для использования в системе Биткоина, распределённые реестры могут использоваться в системах любого типа. При использовании в финансовых услугах система распределённого реестра имеет свои ограничения, а следовательно, меньшую автономность. Она может быть развёрнута с разными уровнями вмешательства человека и гибкости настроек.

Новое управление рисками с помощью архитектуры распределённых реестров

Система для предотвращения обмана, созданная на основе распределённого реестра, может использовать различные базы данных, работающие синхронно. Это эффективно позволит бороться с хакерскими вторжениями, подобными этому ограблению в Бангладеш. Во-первых, такая система могла бы конфиденциально поддерживать базу всех совершённых транзакций для сверки и проверки, при этом не раскрывая содержимое транзакций всем в системе (в отличие от блокчейна, в котором все транзакции открыты). Во-вторых, такая система могла бы хранить и обновлять  учетные данные законных и проверенных отправителей и получателей.

Сегодня частные банки и другие финансовые учреждения пользуются своими системами управления риском, консультируясь друг с другом, по поводу клиентов, включенных в чёрный список и тех, на кого наложены санкции. Ответственность за разработку системы контроля за рисками ложится на каждый из банков по отдельности,  что приводит к противоречивым подходам и разнобою в управлении рисками. Распределённая система была бы выгодна не только для крупных, но и для малых банков, которым тоже нужно усовершенствовать свои системы управления рисками.

Часто системы банка будут генерировать «ложные сигналы», то есть транзакции, которые отклонены системой в силу их подозрительности или нечестности. Но в большинстве случаев  эти транзакции верные, в них просто не внесли некоторую важную информацию перед отправкой — а после внесения исправлений они хорошо проходят. Такой высокий процент ложных срабатываний приводит к необходимости держать штат проверяющих, которые в конечном счёте и определяют транзакции как безопасные. Система распределённого реестра могла бы обслуживаться самыми  заинтересованными в её создании сторонами, то есть Центральными банками и самыми крупными коммерческими банками. В долгосрочном периоде вообще спорно, нужен ли централизованный сетевой объект, например, такой, как система SWIFT в этом сценарии. Действительно, благодаря использованию стандартов ISO, распределённая система может работать благодаря минимальному участию основных игроков.

Совместные смешанные подходы

Центральные банки закономерно исследуют гибридные системы, в которых единственная центральная власть управляет записями, которые хранятся также централизованно. Однако они поощряют и помогают использованию распределённого реестра, помощь которого позволяет гарантировать сетевую безопасность и целостность. Такая система могла бы работать на нескольких уровнях – международный, региональный, а также местный или домашний, что позволит центральным властям в различных юрисдикциях разработать дополнительный уровень для совместно используемых децентрализованных систем.

Однако создание такой международной системы займёт немало времени, а возможность наличия внутреннего заговора и компрометации приватных цифровых ключей говорит о том, что не существует системы, полностью защищённой от кибератаки. Однако смешанная система будет в состоянии определить мошеннические транзакции или отмывание денег намного более быстро, чем традиционная система.

Отдельное примечание: важно отметить, что новые технические подходы не могут освободить банки от необходимости вводить системы управления рисками. Хакеры часто используют простые и проверяемые, но всё же действенные методы мошенничества. А это установка в банковские системы вредоносного программного обеспечения, отключение функции печати, а также простое наблюдение за тем, как люди работают, и как можно выстроить цепочку из нескольких банковских выходных различных стран в своих инересах.