После мирового финансового кризиса 2008 года правительства и регуляторы взяли на себя миссию по восстановлению устойчивости и добросовестности банковских и финансовых систем. В ЕС недавним проявлением этих усилий стал закон DORA (Digital Operational Resilience Act — Закон о цифровой операционной устойчивости). Он должен быть принят в марте 2022 года и обяжет финансовые организации обеспечивать устойчивость всех применяемых ими IT-технологий. Согласно этому закону, организация отвечает за все, что у нее работает. Таким образом, стороннее ПО и приложения становятся предметом  ответственности организации. Под действие DORA попадают не только крупные банки, но и все представители финансового сектора, от поставщиков кредитных и платежных услуг до инвестиционных и страховых компаний, от криптовалютных бирж до краудфандинговых платформ.

Регуляторы за пределами ЕС готовятся пойти этим же путем. Например, выполняющий функции ЦБ Великобритании Банк Англии запросил политические полномочия для проведения оценки и, при необходимости, вмешательства в процессы миграции IT-систем частных банков на облачные платформы гиперскейлеров (мировых облачных гигантов вроде Google, Amazon, Facebook, IBM и Microsoft). Федеральная резервная система, Конгресс и другие властные институты США начали изучать вопрос о готовности национальных регуляторов к решению проблемы рисков чрезмерной концентрации облачных вычислений. В Сингапуре, Гонконге и Австралии банки теперь обязаны в той или иной степени проводить комплексную проверку своих технологических партнеров и демонстрировать наличие надлежащих мер безопасности и планов реагирования на случай технических отказов.

DORA и другие законы, которые могут появиться вслед за ним, вступают в силу как раз в тот период, когда сложность технологических цепочек поставок во многих учреждения растет вместе с рисками. Неоспоримые преимущества облака стимулируют перенос в него все большего числа критически важных рабочих нагрузок. Такие нагрузки требуют более серьезного подхода к безопасности, поэтому организации задумываются о поиске новых поставщиков решений и услуг, способных обеспечить надлежащую защиту ключевых корпоративных систем. То же касается и поиска технологических партнеров, для того чтобы модернизировать унаследованные корпоративные платформы и приложения и обеспечить основу для цифровых инноваций по удержанию и завоеванию клиентов в условиях резко усилившейся конкуренции.

Результатом этого стала гиперсвязность финансового сектора. Теперь организации имеют доступ к огромному количеству данных и технологических сервисов третьих сторон, работающих на серверах в одном и том же публичном облаке или центре обработки данных. Если одна организация становится уязвима, под удар попадают и все остальные. По оценке Федеральной резервной системы, атака на любой из пяти наиболее активных банков США может затронуть 38% национальной финансовой системы. Последующие за этим накопление ликвидности и отказ от платежей могут превысить дневной ВВП страны более чем в 2,5 раза.

В 2020 году в мировом финансовом секторе было зарегистрировано 1188 инцидентов безопасности и утечек данных, что составляет около 3,4% общемирового числа. Жертвами инцидентов стали крупнейшие финансовые компании. В результате взлома Equifax в 2017 году хакеры похитили номера кредитных карт более 209 тыс. клиентов, что стоило компании 700 млн долларов штрафов, а также увольнения генерального директора, IT-директора и главного операционного директора. Атака на Capital One в 2019 году привела к компрометации 80 тыс. банковских счетов в США и утечке номеров социального страхования 1 млн жителей Канады. Совсем недавно хакеры похитили криптовалюту с платформы Poly Network на сумму 613 млн долларов. Взлом систем безопасности стал уделом высококвалифицированных профессионалов, и наиболее эффективные операции иногда спонсируется государствами.

Все это указывает на необходимость более широкого применения установок и подходов, базирующихся на принципах сообщества. Вместо того чтобы действовать в одиночку, все заинтересованные стороны должны сделать устойчивость и безопасность предметом общих усилий, поскольку финансовые системы больше не существуют изолированно. Убрав завесы секретности, учреждения смогут получить целостное представление о том, как все устроено, что, безусловно, пойдет на пользу всей отраслевой экосистеме. Ставшие де-факто стандартом SecOps решения класса «информационная панель» должны подняться с уровня организации на уровень финансового сектора в целом. Если согласиться с этим, то вполне понятны и следующие шаги: общеотраслевая стратегия, коллективный выбор, закупка и развертывание совместно используемых решений, а также координация команд и процессов предотвращения и устранения последствий атак.

Работая с некоторыми косвенными данными и партнерскими организациями, мы составляем карту технологической взаимосвязи мирового финансового сектора, а затем проводим моделирование, чтобы показать, как сбой или атака в одной месте системы скажутся на остальных.

Цель — понять, какие типы критически важных финансовых инфраструктур и приложений больше всего затрагивают банковские стратегии по переходу в облако; предсказать триггерные точки, атака на которые может привести к возникновению системных рисков, а также оценить их влияние на экономику в целом. Регуляторы, банки и поставщики облачных услуг могут извлечь выгоду из этих данных. В основу системы положены те же принципы моделирования, которые помогают вирусологам предсказывать пути распространения COVID-19.

Проработав почти два десятка лет с финансовыми институтами, я понимаю, как сильно может повлиять открытое сотрудничество на изменения в корпоративной культуре. Давайте посмотрим, как организации могут увеличить устойчивость, обратив свой взор внутрь себя.

Интуитивно кажется, что лучше всего пользоваться услугами только одного облачного гиперскейлера. Один поставщик, один набор систем, меньше точек уязвимости — верно? Не совсем так. Привязка к одному игроку делает вас незащищенным от его капризов и ошибок. Поэтому нас должна настораживать сегодняшняя суперконцентрация, когда по результатам исследования, проведенного Банком Англии в 2020 году, три четверти банков и еще большая доля страховых компаний обслуживаются всего двумя — одними и теми же — провайдерами облачных инфраструктур. Интересно, что это идет вразрез с огромной долей финансовых учреждений, которые используют ПО с открытым кодом: согласно свежему отчету Red Hat The State of Enterprise Open Source, таких насчитывается 98%. И одна из причин столь высоких показателей — контейнеризация; в отчете Red Hat говорится, что 75% респондентов планируют увеличить использование контейнеров в ближайшие 12 месяцев. Это поможет им повысить свою безопасность и устойчивость, поскольку контейнерная платформа может предоставить единые стандарты и инструменты контроля безопасности, даже если организация использует сразу нескольких облачных решений от разных гипескейлеров (hypescaler). Плюс ко всему обеспечивается переносимость приложений, что оставляет свободу смены провайдеров в будущем.

Устойчивость и инновации могут работать в одной упряжке, а не мешать друг другу. Просто примите подход, который является действительно целостным и в рамках которого безопасность реализована на уровне ДНК экосистемы, а не пристраивается уже потом, когда все готово.