• Можно наладить массовый выпуск поддельных карт.
• Можно организовать массовые, широко распространенные мошенничества с картами и подорвать доверие к системе.
Наконец, поговорим об использовании системы для совершения преступлений, то есть о нарушениях закона с ее помощью. До сих пор мы рассматривали лишь возможность отмывания денег, но не менее заманчиво обсудить возможности других противозаконных действий. (Заметим, что большинство злодеяний связаны с передачей наличных денег из рук в руки. Наша система карт позволит легко избавиться от таких преступлений, как торговля наркотиками, незаконные азартные игры, проституция и т. д.)
Некоторые люди получают банковские карточки под вымышленными именами, но нетрудно склонить кого-либо к тому, чтобы он использовал свое настоящее имя. (Несомненно, в мире найдется много желающих открыть банковский счет, который, как они понимают, будет контролироваться другими людьми и использоваться для отмывания денег, если им предложат несколько тысяч долларов или, в отдельных случаях, возможность провести несколько дней или недель в пьяном или наркотическом угаре.) Если на такие карточки положить деньги, их можно использовать как компактное платежное средство, и не существует очевидного способа воспрепятствовать этому.
Обратите внимание на то, что решение вопросов морали и законности в этой сфере далеко не очевидно. Требования о предоставлении финансовой отчетности в государственные органы США и Великобритании могут причинять некоторые неприятности гражданам, но власти редко злоупотребляют этим. Во многих других странах, таких как Китай, Турция. Мексика или Сирия, дело принимает совсем другой оборот. Последнее обстоятельство чревато политическими и юридическими проблемами для тех компаний, которые обязаны предоставлять такие сведения, и способно привести к большему распространению мошенничества в этих странах.
Оценка рисков
Недостаточно просто составить перечень угроз, необходимо знать, как реагировать на каждую из них. Здесь на помощь приходит оценка рисков. Основная идея состоит в том, чтобы оценить возможный ущерб от реализации угрозы и возможное число таких случаев в течение года, а затем вычислить ожидаемые потери за год.
Например, «планируемые» убытки от хакерского вторжения в сеть составляют 10 000 долларов в каждом случае (эта сумма включает в себя оплату труда тех, кто будет обнаруживать такие происшествия, приводить все в порядок и т. д.), а такие происшествия могут случаться трижды в день или тысячу раз в год. В таком случае ожидаемые убытки за год не превзойдут 10 миллионов. (Можно понять, что из этого следует. Если ожидаемые убытки за год составляют 10 миллионов долларов, то приобретение, установка и поддержка брандмауэра за 25 000 в год – весьма выгодное дело. Приобретение нечто такого «супер-пупер-умопомрачительного» за 40 миллионов будет пустой тратой денег. При этом анализе предполагается, что брандмауэр и «супер-пупер-умопомрачительное» одинаково хороши для предотвращения угрозы. Позже мы еще вернемся к этой теме.)