Банк международных расчетов назвал главную киберугрозу для финансовой системы

Появление функционирующих квантовых компьютеров на горизонте ближайших 10–15 лет может стать самой опасной угрозой для безопасности банковских данных по всему миру. Об этом сообщили эксперты Банка международных расчетов (BIS, международная структура со штаб-квартирой в Базеле, Швейцария) в июньском докладе «Проект «Скачок»: квантовая защита финансовой системы».

Тысяча лет как несколько минут

Они отмечают, что такие машины позволят хакерам использовать методы дешифровки данных, которые дадут им доступ к любой информации банков и их клиентов. В числе таких методов – разработанный в 1990-х гг. квантовый алгоритм Шора, который позволяет подбирать ключи к сообщениям, зашифрованным по асимметричному принципу. Возможность применения этого алгоритма будет означать, что наиболее надежные традиционные методики шифрования вроде RSA и ECC, применяемые большинством банков сегодня, станут неэффективными. В результате уже к началу 2030-х гг. почти все финансовые IT-системы, не защищенные от квантовых атак, могут оказаться под угрозой взлома.

«При запуске на квантовом компьютере с достаточным количеством кубитов (квантовых битов. – «Ведомости») алгоритм Шора мог бы значительно упростить задачу факторизации (т. е. поиска ключа к зашифрованному сообщению. – «Ведомости»), сократив ее выполнение с сотен или даже тысяч лет, которые требуются современным классическим компьютерам, до часов или даже минут», – указывают в BIS.

В связи с этим кибератаки с квантовых устройств могут стать гораздо более разрушительными, чем атаки с современных компьютеров, их последствиями могут быть глубокие шоки ликвидности в банковском секторе и неплатежеспособность многих кредитных организаций, отмечают эксперты.

В качестве решения данной проблемы эксперты BIS предлагают центральным банкам во всех странах как можно скорее внедрять в свои системы постквантовые алгоритмы (не требуют квантовых компьютеров для реализации) наряду с традиционными методиками шифрования.

В рамках проекта «Скачок» (Project Leap) уже была реализована передача платежного сообщения в формате XML между Банком Франции и Немецким федеральным банком через квантово защищенную сеть VPN по протоколу IPsec, сообщается в докладе. В BIS утверждают, что большая часть центральных банков в мире уже имеют возможности по введению постквантовых алгоритмов, хотя им требуются дополнительные оценки, чтобы понять, какие системы могут быть наиболее уязвимыми к угрозам хакерских атак с квантовых устройств. Как предполагают эксперты, уже к 2025 г. в большинстве центробанков постквантовые алгоритмы будут использоваться наравне с традиционными, что значительно снизит риски квантовых кибератак в будущем.

Квантовая уязвимость

Опасения экспертов BIS относительно рисков хакерских атак с квантовых устройств вполне оправданны, считает основатель облачной платформы квантовых вычислений QBoard Алексей Федоров. Квантовый компьютер достаточной мощности способен взломать алгоритмы с открытым ключом: помимо современных криптографических протоколов, основанных на асимметричном шифровании, это затронет и цифровые подписи, отмечает он. При этом возможность взлома современных алгоритмов зависит не только от числа кубитов в устройствах, но и от постоянных совершенствований техники взлома: еще в январе китайские исследователи из государственной лаборатории математической инженерии и передовых вычислений в Чжэнчжоу заявили, что им удалось подобрать ключ к шифровке RSA при помощи компьютера с 372 кубитами, напоминает он. Кроме того, особую опасность представляет принцип «сохрани сейчас – расшифруй потом», при котором злоумышленники уже сегодня могут перехватывать интересующий их трафик, который зашифрован традиционными алгоритмами шифрования, и реализовать эффективную атаку, когда у них появится доступ к квантовым вычислительным устройствам, добавляет эксперт.

Несколько лет назад на международной конференции по кибербезопасности RSA Conference прогноз звучал более пессимистично, а именно, что уже в 2027 г. квантовые компьютеры смогут взламывать популярные стандарты шифрования и электронной подписи, вспомнил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Именно поэтому многие международные компании уже давно начали работы над так называемой постквантовой криптографией, в простейшем варианте она заключается в увеличении длины ключа шифрования в 2 и более раз, а в более продвинутом базируется на немного иной математике, указывает он. При этом российские криптографические алгоритмы, по оценкам ФСБ, отвечающей за разработку систем шифрования в стране, неподвластны квантовым компьютерам в обозримом будущем и пройдет как минимум сотни лет, прежде чем риски станут актуальными, добавляет он.

На данный момент наиболее уязвимыми к квантовой угрозе можно назвать такие банковские системы, как алгоритмы передачи данных между операторами и ЦОДом, системы электронного документооборота, информационно-аналитические системы, онлайн-банкинг и платежные терминалы, а также инфраструктура электронных подписей, оценивает Федоров.

Подмену реквизитов перевода денежных средств «на лету» – основной риск взлома финансовой системы – даже с квантовыми компьютерами реализовать не так просто, указывает Лукацкий. Здесь используются и надежные протоколы аутентификации, и иные механизмы, снижающие шансы у злоумышленников на успех, указывает он. Основной риск может сохраняться для данных долгосрочного хранения, которые могут быть дешифрованы позднее, уже известен факт, что Китай стал накапливать такие данные для будущей обработки, отмечает эксперт. Но рядовым злоумышленникам в краткосрочной перспективе это будет сделать невозможно, заключает Лукацкий.

Для обеспечения безопасности от квантовых атак необходимо оперативно начать апробацию технологий постквантовой криптографии и квантового распределения ключей, уверен Федоров. Это обеспечит плавный переход информационных систем финансовых организаций от классических методов шифрования к более современным, отмечает он. И постквантовая криптография, и квантовое распределение ключей – это технологии, которые активно разрабатываются в России и доступны уже сейчас, добавляет эксперт.

Убытки от взлома

По оценкам BCG 2022 г., вероятность осуществления хакерской атаки на финансовый институт примерно в 300 раз выше, чем на организации другого типа, а данные S&P Global говорят о том, что шансы атак растут вместе с размерами финансовой организации, отмечает первый заместитель генерального директора ЦСР Борис Копейкин.

Крайне негативный стресс-сценарий, приводящий к остановке расчетов, вероятен даже и без квантовых технологий, указывает он. Моделирование S&P, проведенное в марте этого года, говорит, что потенциально успешная атака на крупный европейский банк (с доходами более 1 млрд евро) могла бы в худшем случае привести к прямым убыткам в размере около 7% капитала без учета репутационных потерь и недополученной в будущем прибыли, сообщает эксперт. Показателен здесь и пример атаки на мальтийский Банк Валетты в 2019 г. – из-за происшествия организация была вынуждена закрыть удаленный доступ отделения и отключить банкоматы на несколько часов, а его кредитный рейтинг был снижен из-за переоценки систем риск-менеджмента по результатам события, напоминает Копейкин.

Даже один реальный кейс взлома данных о финансовой транзакции при помощи квантового компьютера может привести к коллапсу платежных систем из-за потери доверия к эксплуатируемым механизмам электронного документооборота и передачи данных, считает Федоров.

В подготовке статьи принимала участие Наталья Заруцкая