Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Один из основных стимулов Четвертой промышленной революции – стремление конкурировать с аутсорсингом производства в развивающихся странах (особенно в Китае), которое легло в основу современной политики США при администрации Д. Трампа. Широкомасштабное внедрение CPS в Европе и США в принципе способно обратить вспять ситуацию с переносом производств в страны с относительно дешевой рабочей силой (но все более дорогой логистикой). Это позволит условному Западу сохранить экономическое лидерство в условиях возобновления экономического роста в «развивающихся» странах, которые в большей степени полагаются на «обычное» производство.

«Индустрию 4.0» можно рассматривать как производственную сторону ориентированного на потребителей «интернета вещей» (IoT[224]), где любые предметы быта, в которые можно вставить микрочип (от автомобилей до холодильников), будут подключены к интернету[225]. Связь между умными продуктами IoT и умными CPS, которые их производят (совместно они образуют т. н. «промышленный интернет»), будет означать, что вмешательство человека необходимо только для формирования заказа на товар или услугу (и то не всегда: система на основе предикативного анализа способна предугадать рутинные запросы). IoT запустит API-экономику, потребляющую миллионы приложений, цифровых контейнеров и микросервисов.

Максимизация преимуществ Четвертой промышленной революции требует унификации компьютерных платформ (развития PaaS[226]-подхода) и унификации языков общения устройств IoT, чтобы CPS если и не говорили на одном языке, то хотя бы могли понимать друг друга в режиме межмашинного взаимодействия M2M[227]. Однако такая развитая со-платформенность может стать опасной в условиях доминирования ограниченного набора PaaS, что продемонстрировало недавнее «отлучение» китайской компании Huawei от платформы Google/Android.

Вообще в настоящее время можно говорить о переизбытке технологий доступа[228] при наличии многочисленных разрозненных устройств и несогласованности задач, которые ставятся перед каждым из решений IoT[229].

Архитектурный каркас IoT, разработанный IEEE, требует совместимости всех компонентов IoT: устройств и контроллеров, сетей, периферийных и туманных вычислений, хранилищ данных, приложений и аналитики[230].

Крупные игроки объединяют усилия в рамках новых консорциумов, среди которых Industrial Internet Consortium (IIC)[231], Open Connectivity Foundation (OCF)[232], OpenFog Consortium (OFC)[233] и OPC Foundation[234].

Интеграция CPS посредством интернета также делает их довольно уязвимыми к кибератакам. С развитием «Индустрии 4.0» все больший спектр производственных процессов можно дестабилизировать удаленно, манипулируя протоколом производства или просто перегружая процесс посредством DDoS-атак. Недавние заявления американцев, что вредоносные программы уже внедрены в российской электросети[235], не оставляет сомнений в том, что критическая инфраструктура превращается в арену кибервойн. Закон № 187-ФЗ демонстрирует осознание наличия проблемы, но рецепты ее решения пока не слишком проработаны.

В этом отношении вложения в безопасность CPS мало отличаются от покупки различных типов страховок: нарушение безопасности теперь можно считать естественным ходом вещей, поскольку безопасность уже не может быть безупречной без полного отключения от сети, возможность которого даже не рассматривается. Вместо этого владельцам CPS необходимо оценивать риски, чтобы определять, какой уровень риска допустить для каждой системы и каждого бизнес-процесса.

Проблема особенно актуальна для финансовых рынков, где превращение банков и других финансовых институтов в «киберкрепости» в отсутствие доверенной среды[236] передачи финансовой информации может быть относительно недорого нивелировано DDoS-атаками с использованием в качестве ботов домашней электроники, имеющей выход в интернет (IP-камер, smart-телевизоров и т. п.).

А «умный холодильник», имеющий возможность совершать автоматизированные заказы и соответственно порождать финансовые транзакции для их оплаты, может в случае взлома нанести непоправимый ущерб финансовому состоянию своего «хозяина», например сформировав и оплатив несанкционированный заказ быстропортящихся деликатесов. Границы юридической ответственности разработчиков, поставщиков и пользователей вышеописанных платформ пока остаются достаточно размытыми.

Постоянный контроль индивидуума со стороны многочисленных электронных устройств позволяет сформировать и отслеживать его цифровой профиль (или цифровой аватар личности), что облегчает не только маркетинговые акции, но и его идентификацию и контроль финансовых операций на основе анализа его индивидуальных поведенческих реакций и предпочтений. Одновременно возникают риски кражи, подмены этого цифрового профиля или вообще создания весьма достоверно выглядящих фейковых виртуальных персон.

На этом фоне самое существенное воздействие на финансовые рынки могут оказать следующие тренды: