Чому так легко зламали SolarWinds?

Чому так легко зламали SolarWinds?

Отака економіка, малята!

Нью-Йорк таймс

23 лютого 2021 р.

На початку 2020 р. зловмисники з кіберпростору, ймовірно, найманці російської влади, втрутилися в широко вживаний програмний засіб мережного адміністрування, що випускає компанія SolarWinds. Нападники здобули доступ до комп’ютерних мереж близько 18 000 клієнтів SolarWinds, серед яких державні установи США — Управління внутрішньої безпеки й Державний департамент, лабораторії ядерних досліджень, підрядники урядових установ, а також компанії в галузі ІТ й недержавні організації в численних країнах.

Масована атака істотно позначилася на національній безпеці США. На 23 лютого призначено розгляд порушення безпеки на засіданні Сенатської комісії з розвідки. Постає класичне питання: хто винен?

Найперше, претензії до державних органів США. Хіба ж така має бути кібероборона! Проте зводити все до недоліків техніки означає за деревами не бачити лісу. На домір злого, маємо сучасну ринкову економіку: вона спонукає корпорації тягтися до негайного зиску й урізати витраті. Така структура заохочення мало не штовхає успішні фірми в галузі ІТ до продажу невбезпечених товарів і послуг.

Як і решта комерційних фірм, SolarWinds прагне потрафити акціонерам. І для цього знижує собівартість і витискає зиск, де тільки може. Її найбільші власники, постачальники приватного акціонерного капіталу Silver Lake і Thoma Bravo, також прославилися надзвичайної схильністю до урізання витрат.

Жодних сумнівів, що в SolarWinds таки добряче заощадили на вбезпеченні. Компанія здебільшого віддає розробки програм на підряд за кордон, хоча й знає, що, ймовірно, через це там буде більше вразливостей. Скажімо, повідомлялося, що в 2019 р. пароль до сервера оновлень програм мережного адміністрування SolarWinds був «solarwinds123». Російські хакери не забарилися втрутитися у власну систему електронної пошти SolarWinds й зависали там місяцями. Китайські хакери й собі знайшли придатну до визиску вразливість у програмах компанії й проникли в комп’ютери державних установ США. Радник із кіберубезпечення компанії повідомив, що звільнився, коли його порадами щодо поліпшення вбезпечення злегковажили.

Жодних підстав заощаджувати на вбезпеченні нема — крім, певна річ, скнарості. Особливо коли серед клієнтів державні органи різних країн. І коли фахівці, яким ви платите за поради, радять не скупитися.

Як зазначав автор численних публікацій на економічні теми Мет Столер (Matt Stoller), для компаній цілком природно заощаджувати на кібербезпеці, бо їхні клієнти цього не втямлять, доки їх не зламають. Ба навіть коли зламають, байдуже: вони ж уже заплатили! Інакше кажучи, ризик кібератаки перекладається на споживачів. А нікому не здається, що така стратегія підриває можливості тривких стосунків з клієнтами й повторних замовлень? Авжеж, може трапитися; проте інвесторам так кортить отримати зиск якнайшвидше, що вони часто-густо залюбки погоджуються ризикнути.

Ринок радо заохочує корпорації до ризику — особливо, коли ризикують не вони, а хтось інший, скажімо, платники податків. Це зветься «приватизувати зиск, націоналізувати збитки». Класичний приклад — корпорації, «завеликі, щоб збанкрутувати»: суспільство в цілому платить за їхні недогоди й безглузді ділові рішення керівництва. Достеменно так само виходіть і з корпораціями високого лету в галузі ІТ: національна безпека підірвана, бо хтось зіпхнув ризики кіберубезпечення на клієнтів.

Нездарна система заохочення позначається й на вашій повсякденній кібербезпеці. Ваш смартфон уразливий до невибагливої шахрайської хватки — перевипуску SIM-карти. Бо оператори й виробники хочуть, щоб ви без зайвого клопоту купували щоразу нові телефони, й чудово знають, що збитки від шахраїв нестимете ви. Брокери даних і кредитні бюро нагромаджують, використовують і продають ваші персональні дані. А на вбезпечення скупляться, бо як дані вкраде хакер, то ваша, а не їхня біда. Власники соціальних мереж залюбки дозволяють фальшувати інформацію й паплюжити на своїх платформах. Справді, вичищати брехню й лайку дорого й складно, жодних безпосередніх збитків не передбачається, а зиск вони мають із залучення користувачів, нехай там що їх приваблює.

Ми бачимо дві задачі. Перша — несиметричність інформації. Покупці не здатні належно оцінити ані вбезпечення програмних засобів, ані порядки в компанії. Друга — збочена структура заохочень. Ринок спонукає компанії до егоїстичних рішень, навіть коли це ставить під загрозу інтереси громади. Разом вони призводять до того, що компанії приймають більше ризику, аби заощадити, й перекладають той ризик на нас усіх — від окремих осіб до держави в цілому.

Єдина можливість змусити компанії дбати про безпеку клієнтів і користувачів і впроваджувати функції вбезпечення, — втручання держави. Нехай завдяки законам, нормам і юридичній відповідальності компанії платять повною мірою за недоліки убезпечення. Держави регулярно приймають нормативні акти щодо безпеки — регулюють забруднення, ремені безпеки в автомобілях, бензин без свинцю, склад харчових продуктів. Те саме ми маємо поширити на кібербезпеку: федеральному урядові незле б упровадити нормативи на мінімальний рівень убезпечення програмних засобів та їхнього розробляння.

За нинішніх умов нерегульованого ринку компаніям на кшталт SolarWinds надто легко заощаджувати на урізанні вбезпечення й сподіватися, що це їм зійде з рук. Розумне рішення в сьогоднішньому світі вільних ринків таке: змінити систему економічного заохочення. Альтернативи нема.