Впрочем, есть нюанс, который спасает репутацию цифровой валюты. Действительно, прототип цифрового рубля подвергся атаке, и «злоумышленники» добились успеха. Однако взлом этот был совершенно особенным. Его устроили не злые гении, а вполне официальные команды киберспортсменов
Никакая действующая система не пострадала, а все страшные истории касаются лишь виртуального полигона, где была воссоздана точная архитектура будущей платформы Центробанка.
Пароль «123456» и другие прелести тестового стенда
Самое забавное, что победители битвы не применяли никаких футуристических эксплойтов или квантовых взломщиков. Они просто воспользовались тем, что организаторы, увлекшись масштабом задачи, забыли о базовых вещах. Представьте себе сейф с бриллиантами, который запирают на дешевый китайский замочек.
Если отбросить панические заголовки, то перед нами классический пример того, как нужно тестировать государственные IT-проекты. Создали копию, пригласили лучших «белых хакеров» со всего мира и дали им задание найти слабые места. И они нашли. Причем нашли именно то, что проще всего исправить до того, как система отправится в большую жизнь. Один из капитанов команд-победителей выдал фразу, достойную быть выгравированной на всех серверах: гигиена секретов куда важнее дорогих систем защиты. Проще говоря, не держите пароли в текстовом файле на рабочем столе и отзывайте старые ключи, когда сотрудник увольняется. Это не стоит миллиардов, но спасает от позора.
Хакатон, который так громко окрестили «взломом», проводился ровно с одной прагматичной целью. Создатели цифрового рубля прекрасно понимали, что выпускать сырую систему в большую финансовую экосистему, где крутятся реальные деньги граждан, — это все равно что отправлять новичка в бой без бронежилета.
На самом деле это стандартная мировая практика для государственных IT-проектов, которая называется «тестирование на проникновение» или Bug Bounty, только в гигантском масштабе. Организаторам было нужно не просто найти пару багов, а проверить архитектуру в условиях, приближенных к боевым. Они хотели увидеть, как система поведет себя, когда на нее обрушатся сотни профессиональных атакующих с разных сторон одновременно. И, как показал результат, тест удался на славу. Вскрылись не какие-то запредельные уязвимости нулевого дня, а типичные «детские» ошибки настройки, которые легко исправить до того, как они станут головной болью для Центробанка.
Проще говоря, этот хакатон был не актом диверсии, а профилактическим медицинским осмотром. Лучше пережить инфаркт в условиях медицинского станционара, чем на беговой дорожке в реальной жизни. Благодаря этому мероприятию разработчики получили ценнейший отчет о слабых местах, а регулятор — повод задуматься о строгости инструкций для банков-посредников. И если теперь к первому сентября систему приведут в порядок, то мы сможем сказать спасибо именно этим хакерам, которые честно указали на дыры, а не воспользовались ими втихую.
Регулятор, разумеется, сохраняет олимпийское спокойствие. Официальная позиция Банка России сводится к тому, что реальная платформа создается с соблюдением всех мыслимых требований киберустойчивости, а все счета и переводы надежно укрыты банковской тайной. Конечно, после такого публичного вскрытия тестового стенда разработчикам придется наводить порядок с особым рвением. Ведь массовое внедрение цифрового рубля запланировано на первое сентября 2026 года, и мало кому захочется, чтобы первый блин вышел комом.
Так что происшествие на кибербитве стоит считать не скандалом, акачеественным аудитом, который сэкономит налогоплательщикам кучу нервов и денег. И пусть прототип пал жертвой собственной небрежности, лучше уж это случится в песочнице, чем в реальной финансовой системе. Миграция с Rockwell на IntraSCADA: 15000 тегов, завод без остановки и MES-функционал за 9 месяцев Николай Распопин: «Человеку не нужно запоминать номера горячих линий разных ведомств» Как США разрушают бизнес ASML и сможет ли компания договориться с Китаем
Источник: www.it-world.ru