Какъв е бизнес моделът, който доведе до краха на информационната сигурност в Съединените Щати и кой го допуска?
Част 1
Представяме ви задълбочения анализ на Matt Stoller за генезиса на кризата с хакерската атака в САЩ.
Кой е Matt Stoller?
Възпитаник на Харвард, изследователски директор в AELP и автор на „Голиат: Стогодишната война между монополната власт и демокрацията“
Преди това Stoller е старши съветник по политиките и бюджетен анализатор в комисията по бюджета на Сената. Той също е работил и в Камарата на представителите на САЩ по политиката за финансовите услуги.
Преди приблизително месец водещата компания за киберсигурност FireEye предупреди властите, че е претърпяла атака от руски хакери, които са откраднали инструменти, използвани за тестване и анализ киберсигурността на корпорации и правителства по целия свят.
Жертвите са най-важните институционални центрове в Америка, като ФБР, Министерството на финансите, Министерството на търговията, както и гиганти от частния сектор като Cisco Systems, Intel, Nvidia, счетоводния гигант Deloitte, калифорнийски болници и хиляди други. С излизането на повече информация на бял свят за случилото се положението изглежда все по-лошо и по-лошо. Руснаците получиха достъп до изходния код на Microsoft и до Федералната агенция за надзор на американските ядрени оръжия. Възможно е да са вмъкнали код в американската електрическа мрежа или да са придобили чувствителна данъчна информация или важни технически и политически тайни.
Киберсигурността е много странна област, доста често извън полезрението на хората, но потенциално много съдбоносна.
Хакерите могат да изключат електроцентрали, телекомуникационни мрежи или да разрушат лабораториите за оръжия, както направи Израел, когато използваше кибер-оръжие, за да осакати иранските ядрени съоръжения през 2010 г.
Банковите регулатори сега трябва да се консултират с висшите военни лидери дали застраховката на депозитите покрива инциденти, когато хакерите унищожават всички банкови записи и какво би означавало това на практика ако се случи.
Не се знае дали тези неща са плод на война или шпионаж, но всички знаят, че следващата война ще бъде изпълнена с нови тактики, базирани на хакване на системите на противника, може би с помощта на код, поставен в тези системи в мирно време .
И това прави този хак доста страшен, дори ако не виждаме ефекта в момента.
Марк Уорнър, един от по-умните демократични сенатори и най-добрият демократ в комисията по разузнаване, каза: „Това е много, много по-лошо, отколкото изглеждаше отначало“, като също така отбеляза „Размерът му продължава да се увеличава“. Политическите лидери обмислят репресии срещу Русия, въпреки че вероятно няма да се предприемат действия които ние можем да видим. Това е най-големият хак от 2016 г. насам, когато неидентифицирана група открадна шпионските инструменти на Агенцията за национална сигурност. Това е, както каза Wired, „историческа бъркотия“.
Поставени са всички стандартни въпроси, които военните и кибер адвокатите обичат, като например дали този хак е война, шпионаж или нещо друго? Политиците преразглеждат дългогодишната политика на Агенцията за национална сигурност, която бе съсредоточила средства в подпомагането на идеята за „офанзивен хакер“, вместо да осигурява отбранителен капацитет.
Най-интересната част от проблема с киберсигурността е, че изобщо не става дума само за държавен капацитет. Корпорациите от частния сектор поддържат критична инфраструктура, която е в „бойното пространство“. Много от тези фирмата не се справя особено добре с проблемите си със сигурността, и друг използва пазарната си сила, за да монополизира пазара на киберсигурност с продукти на не-добро ниво. И все пак тези компании нямат реални публични задължения или поне нищо официално. Те са с малка отговорност за избора, който правят, който може да наложи разходи на другите.
Всъщност рискът от киберсигурност е сходен със замърсяването – разходи, които самият бизнес не поема напълно, но останалата част от обществото поема.
Точката на влизане за този основен хак беше частна инвестиционна компания за ИТ софтуер, наречена SolarWinds. Продуктите на тази компания са доминиращи в своята ниша: 425 от Fortune 500 използват Solar Winds. Въпреки че има конкуренция на този пазар, SolarWinds има пазарна мощ. Трудно е миграцията към нови ИТ системи и този ефект на заключване означава, че клиентите ще толерират повишаване на цените или влошаване на качеството, вместо да си сменят доставчика. И той има голям пазарен дял; както каза генералният директор на SolarWinds – „Ние управляваме мрежовите съоръжения на всички.“
SolarWinds продава пакет за управление на мрежата, наречен Orion, и именно чрез Orion хакерите атакуваха тези системи, поставяйки зловреден софтуер в актуализации, които компанията изпращаше на своите клиенти. Сега хакери се сдобиха с изключителна информация, но не беше необходим гений, за да хакнат компанията SolarWinds. Престъпниците дори търгуваха с информация за това как да се хакне системата на SolarWinds.
Изглежда, че небрежната практика за сигурност в компанията е била често срещана, системна и дългогодишна. Компанията дава своя инженеринг в ръцете на по-евтини програмисти от Източна Европа, където за руските хакери е по-лесно да проникнат в разработката на техните продукти. SolarWinds не си направи труда да наеме висш служител, който да се съсредоточи върху сигурността до 2017 г. и то едва след като беше принуден да го направи от европейските разпоредби. Още тогава главният изпълнителен директор на SolarWinds Кевин Томпсън игнорира риска. Както отбеляза Ню Йорк Таймс (The New York Times), “… съветник по сигурността в SolarWinds каза, че е предупредил ръководството, че ако не предприеме по-проактивен подход към вътрешната си сигурност, епизодът на киберсигурността ще бъде катастрофален “. Изпълнителният директор, отговарящ за сигурността, се оказа разочарован. Дори и след хакването SolarWinds не спря да предлага компрометирания софтуер.
Това ниво на идиотизъм изглежда необичайно, но не е. Пред Таймс (The Times) служители на компанията споделят, че „при г-н Томпсън (счетоводител по образование и бивш главен финансов директор), всяка част от бизнеса е изследван за спестяване на разходи и общите практики за сигурност бяха избягвани заради техните разходи.“ Печалбата на компанията се утрои от 2010 до 2019 г. Томпсън изчисли, че бизнесът му може да работи по-изгодно, ако реши да отвори клиентите си за хакерски риск и това се оказа истина.
И все пак, не всяка софтуерна фирма работи като SolarWinds. Повечето се стремят да печелят пари, но малцина го правят с такава комбинация от злонамереност, алчност и идиотизъм. Какво прави SolarWinds различен? Отговорът е специфичният финансов модел, който нахлу в софтуерната индустрия през последните петнадесет години. Особен виртулентен щам на безразсъдство, обикновено наричан частен капитал.
Писах много за частния капитал. Под „частен капитал“ имам предвид финансови инженери, финансисти, които събират големи суми пари и заемат още повече, за да купуват фирми и да ги плячкосват. Този тип частни акционерни не са специалисти, които помагат за финансирането на полезни продукти и услуги, те правят сделки насочени към фирми, които според тях имат пазарна мощ да повишават цените. Те могат да съкращават работници или да продават активи. Често могат да унищожат основния бизнес. По същество те са супер големи мафиоти, които изгарят бизнеса заради огромните печалби.
Кой е Орландо Браво?
Според Wall Street Journal човекът, който притежава SolarWinds е роденият в Пуерто Рико милиардер на име Olando Bravo, който е съосновател и партньорите в Thoma Bravo, LP.
Статията описва бизнес модела на Bravo.
Thoma Bravo идентифицира софтуерни компании с лоялна клиентска база, но със средни печалби, придобива ги и ги превръща в двигатели за печелене на пари чрез ревизия на ценообразуването, спиране на нерентабилни бизнес линии и наемане на служители от по-евтини пазари на труда.
След това корпорацията насочва своите капитали, за да правят допълнителни придобивания на компании в същия сектор, т.е все по-малко и по-малки конкуренти, които не биха могли да издържат конкуренцията на Thoma Bravo.
Бизнес моделът на Bravo е да купува нишови софтуерни компании, да ги комбинира с конкуренти, да извършва офшорни дейности, да намалява всички разходи, които може, и да повишава цените след това. Тезата за инвестицията е ясна: МОЩНОСТ. Софтуерните компании имат огромна ценова власт над своите клиенти, което означава, че могат да повишат цените до ключови клиенти или да влошат качеството (което е същото по отношение на икономиката на фирмата). Както заяви Робърт Смит, един от неговите конкуренти в софтуерната игра, „Софтуерните договори са по-добри от дълговете на първо право на залог. Осъзнавате, че компанията няма да плати лихвеното плащане по първото си задържане, докато не плати поддръжката на софтуера си или абонаментната такса. Първо ни плащат нашите пари. Кой има по-добър кредит? Фирамата не може да управлява бизнеса си без нашия софтуер. ”
Следва продължение >>>