Бездумна цифровізація обійшлася бразильским банкам у $140млн.

Ще одна повчальна історія про те, як дурна цифровізація не тільки не допомагає – але навіть серйозно шкодить. І ще про дещо.
Отже, яка суть історії.

Хакери викрали за один раз близько 140 мільйонів доларів з шести банків Бразилії.
Кошти спробували негайно перевести у криптовалюту, але встигли конвертувати лише 40 мільйонів.
Як вдалася така грандіозна афера? Так а людський фактор.

Місцева компанія C&M Software є постачальником ІТ-рішень для Центрального банк Бразилії і, наскільки я зрозумів, ці рішення надаються фінансовим установам країни для обов’язкового використання.
Співробітник компанії C&M Software на ім’я Жоао Назарено Роке свідомо продав зловмисникам свій логін пароль до одного з таких рішень за 15 тисяч бразильських реалів (приблизно $2780). Ну а далі шахраї зайшли у систему під його акаунтом та викрали гроші у 6 фінансових установ.

Компанія ліпила смішні відмазки (“наша інфраструктура не постраждала”), експерти умнічали про “зростання ролі соціальної інженерії”.
Хоча яка тут, до біса, соціальна інженерія? Чувак свідомо продав свої креденшелзи і приблизно розумів для чого вони будуть використані.

А я з цієї історії роблю зовсім інші висновки.
Висновок перший: був застосований вкрай типовий та ультра-популярний останніми роками метод supply-chain attack. Причому у постачальника рішень чомусь був доступ у внутрішні мережі багатьох банків та їхніх грошей. Чому?
Інакше як дурним людським рішенням це ніяк не назвеш.
Плюс співробітник компанії-розробника явно шукав “лівого” підробітку, що свідчить про низьку зарплату та/або про погане ставлення до персоналу чи конкретно до цього працівника.

Тобто частина провини лежить також на компанії-контракторі.
І ще частково на центробанку та підлеглих банках, які не проводили належних перевірок та не вживали потрібних заходів.
Так, жертва, яка закриває двері у шафу із заощадженнями на паличку замість надійного замка – також винна. Хоча й менше, ніж нападник. Але теж винна.

Висновок другий, менш очевидний: а якого, власне, прутня безпека шести (Карл!)  банків та національного регулятора залежить від якогось одного співробітника якоїсь там компанії?
Як так вийшло, що за фасадом диджиталізації величезної та супер-критичної системи стоїть одна-єдина людина, яка МАЄ МОЖЛИВІСТЬ ту систему завалити - легко і за дрібний прайс? Хто так побудував архітектуру захисту? “Штучний інтелект”? Чи все ж люди, з іменами та прізвищами?

Даний випадок вкотре тикає нас носом у здавалося б просту істину: за будь-якою цифровізацією стоять люди або навіть одна людина – яка і приймає ключові рішення.
Вигуки “дайош заміну чиновника програмою” – це блеф, причому блеф з інтересом: передати контроль над системами від одних хитросраких корупціонерів іншим, таким самим, але із сучасними ІТ-інструментами.

Просто нагадаю, що принципи гіпер-централізованої цифровізації тут і зараз примусово насаджуються в Україні.
І за усіма отими “ми перші у Світі” стоять цілком собі люди з плоті та крові: дві руки, дві ноги, дві дірки в носі. З емоціями та жагою до особистого збагачення.
Скільки таких Жоао Назарено Роке вже злили даних, особливо військових – неможливо сказати. Бо інфа про провтики жижиталізаторів – то найбільша військова таємниця.
Та і взагалі будь-яка інформація про косяки рукожопих ідіотів при владі.

“Перемогти корупцію цифровізацією”, кажете? Ну і як, вже перемогли?
Бразильський випадок демонструє чим все може закінчитися у разі бездумної цифровізації всього, що рухається і не рухається.

“Ми живемо в епоху великих подій і маленьких людей”. Уінстон Черчилль.