За будь-якою цифровізацією стоїть людина

Ще одна повчальна історія про те, як дурна цифровізація не тільки не допомагає – але навіть серйозно шкодить. І ще про дещо. 

Отже, яка суть історії.

Хакери викрали за один раз близько 140 мільйонів доларів з шести банків Бразилії. Кошти спробували негайно перевести у криптовалюту, але встигли конвертувати лише 40 мільйонів.

Як вдалася така грандіозна афера? Так а людський фактор.

Місцева компанія C&M Software є постачальником ІТ-рішень для Центрального банку Бразилії і, наскільки я зрозумів, ці рішення надаються фінансовим установам країни для обов’язкового використання.

Співробітник компанії C&M Software на ім’я Жоао Назарено Роке свідомо продав зловмисникам свої логін і пароль до одного з таких рішень за 15 тисяч бразильських реалів (приблизно $2780). Ну а далі шахраї зайшли у систему під його акаунтом та викрали гроші у 6 фінансових установ.

Компанія ліпила смішні відмазки («наша інфраструктура не постраждала»), експерти торочили про «зростання ролі соціальної інженерії». 

Хоча яка тут, до біса, соціальна інженерія? Чувак свідомо продав свої креденшелзи і приблизно розумів, для чого вони будуть використані.

А я з цієї історії роблю зовсім інші висновки. 

Висновок перший: був застосований вкрай типовий та ультра-популярний останніми роками метод supply-chain attack. Причому у постачальника рішень чомусь був доступ у внутрішні мережі багатьох банків та їхніх грошей. Чому? Інакше як дурним людським рішенням це ніяк не назвеш. 

Плюс співробітник компанії-розробника явно шукав «лівого» підробітку, що свідчить про низьку зарплату та/або про погане ставлення до персоналу чи конкретно до цього працівника. 

Тобто частина провини лежить також на компанії-контракторі. І ще частково на центробанку та підлеглих банках, які не проводили належних перевірок та не вживали потрібних заходів. 

Так, жертва, яка закриває двері у шафу із заощадженнями на паличку замість надійного замка – також винна. Хоча й менше, ніж нападник. Але теж винна.

Висновок другий, менш очевидний: а якого, власне, прутня безпека шести (Карл!) банків та національного регулятора залежить від якогось одного співробітника якоїсь там компанії? 

Як так вийшло, що за фасадом диджиталізації величезної та суперкритичної системи стоїть одна-єдина людина, яка МАЄ МОЖЛИВІСТЬ ту систему завалити – легко і за дрібний прайс? Хто так побудував архітектуру захисту? Штучний інтелект? Чи все ж люди з іменами та прізвищами?

Цей випадок вкотре тикає нас носом у, здавалося б, просту істину: за будь-якою цифровізацією стоять люди або навіть одна людина – яка й ухвалює ключові рішення. Вигуки «дайош заміну чиновника програмою» – це блеф, причому блеф з інтересом: передати контроль над системами від одних хитроср*ких корупціонерів іншим, таким самим, але із сучасними ІТ-інструментами. 

Просто нагадаю, що принципи гіперцентралізованої цифровізації тут і зараз примусово насаджуються в Україні. 

І за усіма отими «ми перші у Світі» стоять цілком собі люди з плоті та крові: дві руки, дві ноги, дві дірки в носі. З емоціями та жагою до особистого збагачення.

Скільки таких Жоао Назарено Роке вже злили даних, особливо військових – неможливо сказати. Бо інформація про промахи «жижиталізаторів» – то найбільша військова таємниця. Та і взагалі будь-яка інформація про косяки безтолкових ідіотів при владі.

«Перемогти корупцію цифровізацією», кажете? Ну і як, вже перемогли?

Бразильський випадок демонструє, чим все може закінчитися у разі бездумної цифровізації всього, що рухається і не рухається.

«Ми живемо в епоху великих подій і маленьких людей» – Вінстон Черчилль.