Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах - Брюс Шнайер
С этой моделью мы будем встречаться снова и снова{70}. Сначала правительство сдерживает банкиров посредством регулирования, чтобы ограничить объем ущерба, который они могут нанести экономике. Но правила регулятора также ограничивают и прибыль банкиров, поэтому они борются с ними. Банкиры хакают эти правила с помощью трюков, которых регуляторы не предвидели и специально не запрещали, и строят вокруг них прибыльный бизнес. Затем они делают все возможное, пытаясь повлиять на регуляторов и на само правительство, чтобы власть разрешила и нормализовала их взломы. Побочный эффект такого процесса – дорогостоящие финансовые кризисы, которые затрагивают население в целом.
Взломы продолжаются и сегодня. Закон Додда – Франка о реформировании Уолл-стрит и защите прав потребителей, принятый в 2010 г. после мирового финансового кризиса 2008 г., должен был стать масштабной реформой системы финансового регулирования. Этот закон включал в себя целый ряд банковских правил, призванных обеспечить большую прозрачность, снизить системные риски и избежать очередного финансового краха. В частности, закон регулировал деривативы, которыми часто злоупотребляли и которые стали одним из главных факторов финансового кризиса 2008 г.
Однако закон Додда – Франка был полон уязвимостей. Банки немедленно привлекли своих юристов к поиску лазеек, которые позволили бы обойти цель закона – и к черту риски для экономики. Первым делом они ухватились за конкретную формулировку, исключающую иностранную деятельность, если только она не имеет «прямой и существенной связи с деятельностью или торговлей в США». Как только эта уязвимость была закрыта, банкиры обошли определение зарубежного «филиала», назвав филиалы «отделениями». Это тоже проработало недолго. Наконец они зацепились за слово «гарантия». По сути, все иностранные деривативы были гарантированы американской материнской компанией, а это означало, что именно она покроет убытки, если что-то случится с зарубежными филиалами. Просто убрав слово «гарантия» и другие эквивалентные термины из своих контрактов, они могли избежать регулирования.
К концу 2014 г. банки перевели 95 % своих сделок со свопами в офшоры{71}, в более мягкие юрисдикции, в очередной раз избегая регулирования по Додду – Франку. В 2016 г. Комиссия по торговле товарными фьючерсами попыталась закрыть эту лазейку. Она постановила, что свопы не могут быть отправлены за границу, чтобы обойти требования закона Додда – Франка, и что как гарантированные, так и негарантированные свопы должны покрываться материнской компанией. Но, увы, новое правило не успели доработать до того, как Трамп вступил в должность президента, а назначенный им председатель комиссии так и не довел дело до конца.
Другие хаки были связаны с правилом Уолкера, еще одной составляющей закона Додда – Франка, которая запрещает банкам осуществлять определенные инвестиционные операции на собственных счетах и одновременно ограничивает их взаимодействие с хедж-фондами и фондами прямых инвестиций. Банки быстро поняли, что они могут обойти это правило, если деньги поступают не с их собственных счетов. Они стали создавать различные партнерства и инвестировать через них. Это правило было отменено при администрации Трампа, в результате чего необходимость во многих хаках просто отпала. Наконец, банки поняли, что могут обойти все правила Додда – Франка, касающиеся «торговых счетов», заявив, что они предназначены для некой деятельности, которую они назвали «управление ликвидностью».
Банковские хаки иллюстрируют еще одну вещь, которую мы будем наблюдать неоднократно. Отношения банков и регулирующих органов напоминают бесконечную игру в кошки-мышки. Перед регуляторами стоит задача ограничить безответственное, агрессивное, коррумпированное поведение. Банки заинтересованы в том, чтобы заработать как можно больше денег. Эти две цели противоположны друг другу, поэтому банки взламывают систему регулирования при любой подходящей возможности. Если какой-то банк вдруг решит этого не делать, он будет быстро задавлен конкурентами, продолжившими играть в кошки-мышки.
Очевидное решение проблемы с точки зрения безопасности – исправление – сдерживается агрессивным стремлением отрасли к нормализации (изменению самих норм). Она достигается за счет лоббирования, а также захвата регулятора. Тенденция, когда над регулирующим органом начинает доминировать отрасль и он начинает работать на нее, а не на общественные интересы, весьма распространена. Банковская отрасль также прибегает к хакингу самого законодательного процесса. С 1998 по 2016 г. индустрия финансовых услуг потратила $7,4 млрд на лоббирование{72}, причем только банки потратили не менее $1,2 млрд.
Если исправления не являются жизнеспособным решением, мы должны найти уязвимости до того, как они будут взломаны, и, что еще более важно, до того, как они укоренятся в базовой системе и лоббисты начнут настаивать на их нормализации. В финансовых системах государственные органы могли бы объединить усилия, наняв бухгалтеров и юристов для изучения систем по мере их развития и совершенствования нормативных актов, пока те находятся в стадии разработки.
Некоторые страны{73}, в том числе Соединенные Штаты, по крайней мере для ряда агентств, уже занимаются подобными вещами, вынося на публичное обсуждение нормативные акты, находящиеся в стадии разработки. Идея заключается в том, чтобы таким образом выявлять способы, с помощью которых правила могут быть взломаны уже сейчас или в ближайшем будущем благодаря ожидаемым технологиям, а затем сразу вносить исправления в текст. Это не устраняет проблем захвата регуляторов или законодательного лоббирования, но по крайней мере могущественные хакеры ничего не теряют, когда такая лазейка закрывается, ведь они не успевают вложиться в эксплойт.
Однако, лоббисты могут злоупотреблять процессом комментирования готовящихся нормативных актов, оказывая давление на регулирующие органы с целью вынудить их оставить лазейки в покое или даже создать новые там, где их не было раньше. Создание такой системы управления, как процесс комментирования нормативных актов, переносит внимание хакеров с целевой системы на систему ее управления, которая должна быть крайне осторожной и гибкой, чтобы самой не стать мягким подбрюшьем для злоумышленников.
18
Хакинг финансовых бирж
Фондовые рынки, товарные биржи и другие финансовые торговые системы тоже давно созрели для взлома. Точнее сказать, они были подарком для хакеров с самого своего появления, но компьютеризация и автоматизация торговли сделали проблему еще более острой.
Хакеры в этой сфере нацелены прежде всего на информацию. Когда финансовая биржа работает так, как надо, трейдеры, располагающие более полной информацией, добиваются лучших результатов, поскольку покупают по низким ценам, а продают на пике. Хакеры подрывают этот механизм двумя основными способами. Во-первых, они используют еще не опубликованную информацию, чтобы заключать выгодные сделки раньше других. Во-вторых, они распространяют дезинформацию, которая движет рынком, а затем заключают прибыльные сделки до того, как все остальные поймут, что их обманули. Оба этих способа подрывают принцип справедливого рынка, который состоит в том, что инвесторы имеют равный доступ к рыночной информации.
Наиболее очевидным взломом первого типа является инсайдерская торговля, попавшая под недвусмысленный запрет уже настолько давно, что перестала быть хаком. Как правило, инсайдерская торговля подразумевает покупку или продажу ценной бумаги на основе непубличной информации. Трейдером может быть финансовый директор, который располагает данными о продажах своей компании до их раскрытия, пиарщик, пишущий финансовый отчет, или работник типографии, читающий этот отчет до его публикации. Вред от инсайдерской торговли двоякий: во-первых, осуществляют ее за счет всех остальных участников рынка, не владеющих важной информацией, и, во-вторых, она подрывает доверие к справедливости рыночной системы.
В США инсайдерская торговля была криминализирована в 1934 г. законом о ценных бумагах и биржах, подтвержденным и уточненным на протяжении многих лет решениями Верховного суда США. В 2021 г. три человека были обвинены в инсайдерской торговле{74} за покупку акций компании Long Island Iced Tea Co. незадолго до того, как она сменила название на Long Blockchain Co. без какой-либо иной причины, кроме как желания заработать на ажиотаже вокруг блокчейна. Правило, которое просуществовало так долго, является ярким примером успешного системного патча.
Действительно, то, что эти запреты пережили почти 90 лет хакерских атак и инертности регуляторов, впечатляет. Если из этого и можно извлечь какой-то урок, то он заключается в том, что широкое правило позволяет создать более надежный, адаптируемый и устойчивый режим регулирования.