Читаем Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах полностью

Очевидное решение проблемы с точки зрения безопасности – исправление – сдерживается агрессивным стремлением отрасли к нормализации (изменению самих норм). Она достигается за счет лоббирования, а также захвата регулятора. Тенденция, когда над регулирующим органом начинает доминировать отрасль и он начинает работать на нее, а не на общественные интересы, весьма распространена. Банковская отрасль также прибегает к хакингу самого законодательного процесса. С 1998 по 2016 г. индустрия финансовых услуг потратила $7,4 млрд на лоббирование{72}, причем только банки потратили не менее $1,2 млрд.

Если исправления не являются жизнеспособным решением, мы должны найти уязвимости до того, как они будут взломаны, и, что еще более важно, до того, как они укоренятся в базовой системе и лоббисты начнут настаивать на их нормализации. В финансовых системах государственные органы могли бы объединить усилия, наняв бухгалтеров и юристов для изучения систем по мере их развития и совершенствования нормативных актов, пока те находятся в стадии разработки.

Некоторые страны{73}, в том числе Соединенные Штаты, по крайней мере для ряда агентств, уже занимаются подобными вещами, вынося на публичное обсуждение нормативные акты, находящиеся в стадии разработки. Идея заключается в том, чтобы таким образом выявлять способы, с помощью которых правила могут быть взломаны уже сейчас или в ближайшем будущем благодаря ожидаемым технологиям, а затем сразу вносить исправления в текст. Это не устраняет проблем захвата регуляторов или законодательного лоббирования, но по крайней мере могущественные хакеры ничего не теряют, когда такая лазейка закрывается, ведь они не успевают вложиться в эксплойт.

Однако, лоббисты могут злоупотреблять процессом комментирования готовящихся нормативных актов, оказывая давление на регулирующие органы с целью вынудить их оставить лазейки в покое или даже создать новые там, где их не было раньше. Создание такой системы управления, как процесс комментирования нормативных актов, переносит внимание хакеров с целевой системы на систему ее управления, которая должна быть крайне осторожной и гибкой, чтобы самой не стать мягким подбрюшьем для злоумышленников.

Фондовые рынки, товарные биржи и другие финансовые торговые системы тоже давно созрели для взлома. Точнее сказать, они были подарком для хакеров с самого своего появления, но компьютеризация и автоматизация торговли сделали проблему еще более острой.

Хакеры в этой сфере нацелены прежде всего на информацию. Когда финансовая биржа работает так, как надо, трейдеры, располагающие более полной информацией, добиваются лучших результатов, поскольку покупают по низким ценам, а продают на пике. Хакеры подрывают этот механизм двумя основными способами. Во-первых, они используют еще не опубликованную информацию, чтобы заключать выгодные сделки раньше других. Во-вторых, они распространяют дезинформацию, которая движет рынком, а затем заключают прибыльные сделки до того, как все остальные поймут, что их обманули. Оба этих способа подрывают принцип справедливого рынка, который состоит в том, что инвесторы имеют равный доступ к рыночной информации.

Наиболее очевидным взломом первого типа является инсайдерская торговля, попавшая под недвусмысленный запрет уже настолько давно, что перестала быть хаком. Как правило, инсайдерская торговля подразумевает покупку или продажу ценной бумаги на основе непубличной информации. Трейдером может быть финансовый директор, который располагает данными о продажах своей компании до их раскрытия, пиарщик, пишущий финансовый отчет, или работник типографии, читающий этот отчет до его публикации. Вред от инсайдерской торговли двоякий: во-первых, осуществляют ее за счет всех остальных участников рынка, не владеющих важной информацией, и, во-вторых, она подрывает доверие к справедливости рыночной системы.

В США инсайдерская торговля была криминализирована в 1934 г. законом о ценных бумагах и биржах, подтвержденным и уточненным на протяжении многих лет решениями Верховного суда США. В 2021 г. три человека были обвинены в инсайдерской торговле{74} за покупку акций компании Long Island Iced Tea Co. незадолго до того, как она сменила название на Long Blockchain Co. без какой-либо иной причины, кроме как желания заработать на ажиотаже вокруг блокчейна. Правило, которое просуществовало так долго, является ярким примером успешного системного патча.