Почему лидеры ФРС и Казначейства США провели срочную встречу по киберрискам

На этой неделе министр финансов США Скотт Бессент и председатель Федеральной резервной системы Джером Пауэлл провели срочную встречу с руководителями Уолл-стрит, прервав привычный ритм брифингов и собрав директоров банков для обсуждения рисков, связанных с киберугрозами, вызванными искусственным интеллектом. Сообщается, что целью встречи было убедиться, что банки осознают риски, которые представляют модели, подобные Mythos, и уже предпринимают защитные меры. Когда министр финансов и председатель ФРС совместно собирают руководителей банков в срочном порядке, это сигнализирует о том, что риск является системным.

Ирония ситуации

Ирония, пронизывающая эту ситуацию, весьма остра. 2 марта Казначейство, Государственный департамент и Министерство здравоохранения и социальных служб приняли решение прекратить использование продуктов компании Anthropic, действуя по указанию президента. Бессент публично заявил, что Казначейство прекращает все виды использования. 9 марта Генеральная служба управления контрактами прекратила контракт с Anthropic на уровне правительства. 8 апреля федеральный апелляционный суд отказался заблокировать решение Пентагона о внесении Anthropic в черный список, пока продолжается судебное разбирательство. Таким образом, в одну и ту же неделю чиновники управляли активным процессом закупок и национальной безопасностью, связанной с Anthropic, одновременно предупреждая крупнейшие банки страны о необходимости подготовки к рискам, связанным с возможностями, подобными Anthropic.

Что изменил Mythos

Основание для официального тревожного сигнала базируется на материалах самой компании Anthropic, которые более конкретны, чем типичные заявления о запуске моделей. Anthropic утверждает, что Mythos обнаружил тысячи уязвимостей высокой степени серьезности, включая недостатки в каждой крупной операционной системе и каждом крупном веб-браузере, и что более 99% из них все еще не исправлены. Карта системы компании описывает модель как способную выявлять и эксплуатировать нулевые дни на этих платформах. Это тот вид возможностей, который, попав в неправильные руки или будучи выпущенным без координации, сокращает временные рамки между обнаружением уязвимости и ее использованием в атаке.

Ответ Anthropic на свои собственные находки заключался в ограничении доступа в рамках структуры, которую они называют Project Glasswing, ограничивая выпуск для партнеров по запуску, включая Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia и Palo Alto Networks, а также более 40 других организаций, которые создают или поддерживают критическую программную инфраструктуру. Компания также пообещала выделить до 100 миллионов долларов в виде кредитов на использование и 4 миллиона долларов в виде пожертвований организациям, занимающимся безопасностью с открытым исходным кодом, в рамках этой инициативы. Anthropic также заявляет, что проинформировала американских чиновников и ключевых заинтересованных лиц перед выпуском, что означает, что встреча в Казначействе отражала обоснованное официальное суждение, основанное на предварительном раскрытии информации.

Почему это важно для банков и регуляторов

Банки находятся в центре этого беспокойства, поскольку они зависят от более широкой программной инфраструктуры. Финансовый план управления рисками сектора финансовых услуг Казначейства, опубликованный в январе 2025 года, определяет концентрацию облачных технологий, цепочки поставок программного обеспечения и новые технологии, включая искусственный интеллект, как основные риски сектора, предупреждая о том, что зависимость от общих поставщиков и программного обеспечения создает условия для каскадных сбоев. Банки используют общих поставщиков облачных услуг, программных поставщиков, платежные системы и системы клиринга по всему сектору. Киберспособность, которая может эффективно находить и эксплуатировать незащищенные нулевые дни в каждой крупной операционной системе, может нанести удар по взаимосвязанной финансовой системе с нарастающей силой.

В этом контексте общая инфраструктура означает, что один класс уязвимости может одновременно затронуть каждую точку. Политический курс, который делает это неизбежным, был начат 18 февраля, когда Казначейство объявило о публично-частной инициативе, явно направленной на разработку практических инструментов для финансовых учреждений для управления киберрисками, специфичными для искусственного интеллекта. 23 марта Казначейство и Совет по финансовой стабильности запустили серию инноваций в области ИИ, заявив, что выводы из нее будут использоваться для работы Казначейства и FSOC по укреплению устойчивости и финансовой стабильности по мере внедрения ИИ в основные финансовые функции.

Долгосрочные последствия и возможные сценарии

Решение Пауэлла и Бессента собрать руководителей банков на срочной встрече является самым ясным официальным признанием того, что американские чиновники считают, что дистанция между угрозами и защитой сокращается быстрее, чем существующая киберпозиция финансовой системы может это поглотить. В лучшем случае Project Glasswing сработает как задумано. Anthropic и его партнеры выявят и исправят серьезные уязвимости до того, как аналогичные возможности станут общедоступными, банки воспримут этот опыт как структурированное упражнение по устойчивости, и этот эпизод станет первым примером того, что передовой ИИ может принести положительный эффект для киберзащиты, находя недостатки быстрее, чем противники могут их эксплуатировать.

В худшем случае появятся дополнительные модели с сопоставимыми или более высокими наступательными возможностями, или раскрытия вокруг Mythos покажут более сжатые временные рамки атак, чем текущая контролируемая информация публично признает. Казначейство, ФРС и финансовые регуляторы тогда перейдут от частных предупреждений к более строгим требованиям надзора: более строгим требованиям к происхождению программного обеспечения, обязательным проверкам концентрации поставщиков, более жестким срокам отчетности по инцидентам и более строгим стандартам операционной устойчивости для банков, использующих общие облачные или программные зависимости.

Заключение

Таким образом, встреча, проведенная Пауэллом и Бессентом, подчеркивает важность осознания рисков, связанных с киберугрозами, и необходимость активного реагирования на них со стороны финансовых институтов. В условиях быстро меняющегося технологического ландшафта и растущих угроз кибербезопасности, банки должны быть готовы к новым вызовам и адаптироваться к ним, чтобы обеспечить свою устойчивость и защиту интересов клиентов. Важно, чтобы все участники финансового сектора работали совместно для минимизации рисков и повышения уровня безопасности в условиях, когда киберугрозы становятся все более сложными и разнообразными.