Однако у крупных компаний несколько иная концепция безопасности. В марте 2016 года в ходе симпозиума, проводимого расчетно-клиринговым агентством Depository Trust & Clearing Corp., или DTCC, аудиторию, состоявшую в основном из банкиров и других представителей сферы финансов, попросили ответить, в какой IT-сектор они вложили бы деньги, будь у них 10 миллионов долларов на инвестиции. Опрос проходил в форме голосования с выбором из нескольких вариантов ответа. Большинство проголосовало за «кибербезопасность»; на втором месте оказалась технология блокчейн. На трибуне в это время находился Адам Лудвин, СЕО компании Chain, которая специализируется на услугах по ведению распределенных реестров
[51]. Увидев результаты опроса, он незамедлительно упрекнул корпорации с Уолл-стрит в недальновидности и недооценке перспектив, открываемых новой технологией. По словам Лудвина (а среди его клиентов числятся такие гиганты, как Visa и Nasdaq), нетрудно понять, почему участники симпозиума сочли вопросы кибербезопасности приоритетными, ведь в зале сидели люди, чья главная обязанность — постоянно беспокоиться о возможном взломе и утечке данных. Однако, судя по итогам голосования, они пока не осознали, что блокчейн предлагает решение этой проблемы. «В отличие от других видов программного обеспечения, для которых кибербезопасность — внешняя надстройка, блокчейн-системы обеспечивают безопасность в силу собственной архитектуры», — сказал он.
Для приватных блокчейнов, которыми обычно интересуются крупные корпорации — распределенных реестров, где все компьютеры должны пройти авторизацию, чтобы подключиться к сети, — понятие «встроенной безопасности» означает лишь распределение базы данных между несколькими хранилищами вместо одного. Преимущество такой структуры — в создании множества запасных копий, или бекапов, благодаря которым сеть будет работать, даже если один узел подвергнется атаке. Более радикальное решение — открытые, общедоступные реестры, как у биткоина или эфириума, где нет регулирующего органа, отслеживающего, кто пользуется системой. В этом случае суть самого понятия «безопасности» полностью меняется. Оно уже не предполагает наличия стены — брандмауэра — вокруг единого хранилища ценной информации, управляемой доверенной третьей стороной. Скорее, акцент делается на передаче контроля «на окраины», то есть самим пользователям, и ограничении объема идентифицирующей информации в открытом доступе. И наконец, взлом подобной сети нужно сделать настолько дорогим, чтобы у злоумышленников отпало желание даже пытаться.
На первый взгляд удивительно, что сеть анонимных пользователей оказалась неуязвимой для взлома. Но факт есть факт: система вознаграждений и затрат, встроенная в ПО для генерации криптовалюты, действительно надежна. Основной реестр биткоина не удалось взломать еще никому. Безусловно, будет нелегко убедить организации, которые до сих пор занимались защитой наших данных, передать эстафету децентрализованной сети, где нет единого правления (и не с кем судиться в случае провала). Но именно это, возможно, станет главным шагом к улучшению защитных систем. Безопасность должна зависеть не от сложного кодирования и прочих внешних механизмов, а от экономических факторов, то есть кибератаки должны утратить целесообразность из-за непомерной цены.
Давайте сравним нынешнюю модель защиты данных — назовем ее «общим секретом» — и новую модель «идентичности устройств», предлагаемую блокчейном
[52]. Сегодня провайдер услуг и клиент договариваются о секретном пароле и каком-нибудь проверочном вопросе («Назовите девичью фамилию матери»). После этого жизненно важная информация, которая иногда стоит миллионы долларов, отправляется в хранилище данных на сервере провайдера, где ее могут добыть взломщики. В открытом блокчейне клиент сохраняет контроль над данными, а это значит, что точка уязвимости находится на его устройстве. Вместо серверов Visa, содержащих информацию, которая необходима миллионам держателей карт для доступа к платежной системе, правом доступа к сети управляете вы сами — с телефона или компьютера. Теоретически хакер может нацелиться на отдельное устройство и попробовать взломать личный «ключ», используемый для совершения транзакций в децентрализованной сети, и, если повезет, даже украсть несколько тысяч долларов в криптовалюте. Но это гораздо менее прибыльно и более трудозатратно, чем взлом центрального сервера.
Слабым звеном — а такое всегда найдется, это аксиома кибербезопасности — теперь становится само устройство. Ответственность за его защиту ложится на плечи пользователя. Очевидно, широкой публике нужно будет освоить азы криптографии, а также работу с персональными ключами. Оптимизация криптовалюты потребует от нас взять защиту данных в собственные руки.
Тем не менее, несмотря на новые задачи в плане защиты устройств, мы надеемся на резкое сокращение количества кибератак. Ведь потенциальная выгода от каждой атаки станет гораздо меньше. Вместо получения доступа к миллионам счетов сразу хакеры будут вынуждены взламывать каждое устройство по отдельности ради относительно небольшой добычи. В данном случае безопасность обеспечивается за счет нерентабельности взлома. Защита встроена в саму систему, а не прилагается к ней в качестве «заплатки».
Нам кажется, что от перехода к модели распределенного доверия цифровая экономика существенно выиграет — будь то просто новая система бекапов или более радикальная концепция открытого блокчейна, защищенного нецелесообразностью атак. Стоит освоить общие принципы, и на ум сразу приходят новые модели управления информацией, которые возвращают контроль создателям данных и обеспечивают им гораздо более высокий уровень защиты.
Здравоохранение — одна из сфер, где такое решение придется весьма кстати. В наши дни конфиденциальные истории болезни хранятся в разрозненных (и уязвимых) базах клиник, лабораторий и страховых компаний. Все эти учреждения связаны строгими законами о врачебной тайне, которые, безусловно, прописывались с благими намерениями, однако в рамках полученной системы медики несут суровое наказание при любой утечке данных. Разумеется, они бы с радостью сбросили с себя бремя такой ответственности.
В последнее время кибератаки в медицинской сфере участились. В 2016 году хакеры взломали базу данных страховой компании Anthem Health и обнародовали 78 миллионов историй болезни
[53]. При массовом заражении компьютеров «вирусом-вымогателем» WannaCry электронные карты пациентов во многих клиниках оказались закодированы, и хакеры потребовали выкуп в биткоинах за их разблокировку
[54]. Разумеется, больницы неслучайно стали мишенью взломщиков, ведь их данные жизненно важны в самом буквальном смысле слова.
