Nikdy v dějinách písemného dorozumívání nemohlo mít 140 znaků takový vliv, jaký může mít dnes. Když Syrská elektronická armáda (SEA) získala před dvěma týdny přístup na hlavní účet agentury Associated Press na Twitteru (@AP), odeslala falešný tweet o dvou explozích v Bílém domě a zranění prezidenta Baracka Obamy. Během několika vteřin klesly americké finanční trhy zhruba o 1%.
O několik minut později se to již na Twitteru hemžilo dementi. Reportéři v Bílém domě tweetovali, že žádnou explozi necítili, a reportéři AP a správci twitterového účtu AP Politics oznámili, že účet @AP se stal terčem hackerského útoku. Tiskový mluvčí Bílého domu Jay Carney pak na odpoledním brífinku potvrdil, že Obama skutečně žádné zranění neutrpěl. Finanční trhy se vrátily na stejnou úroveň jako před falešnou zprávou.
Podfuk s twitterovým účtem @AP představuje systémové riziko, které nelze eliminovat, protože vyplývá z interakce vysoce integrovaných finančních trhů se stále demokratizovanějším systémem doručování zpráv. Vzhledem k silné motivaci protagonistů vedených zlými úmysly takové podvody páchat bychom měli očekávat, že počet podobných incidentů poroste.
Finanční trhy jsou zranitelné vůči manipulaci, protože neprovádějí vyhodnocování pravdy. Obchodování často upřednostňuje ty, kdo reagují jako první, takže být první, ale mýlit se může stále přinést zisk.
Představme si, že nějaká sofistikovaná obchodní firma investovala značné prostředky do vývoje algoritmu, který rychle vyhodnocuje potenciální tržní dopad zpráv a pak na základě tohoto předpokládaného dopadu automaticky odesílá příkazy k obchodování. Když tento algoritmus analyzuje tweet z AP, který obsahuje důležitá klíčová slova (exploze, Bílý dům a Obama), odešle pokyn k prodeji v očekávání, že trh zaznamená pokles, poněvadž ostatní – nejprve pomalejší algoritmy a po nich ještě pomalejší lidé – začnou zpracovávat tutéž zprávu.
Ten, kdo zareagoval jako první, je šťastný, že tyto obchody realizoval, i bez ověření, zda daná zpráva je pravdivá. Pokud pravdivá skutečně je, pak trh zůstane dole nebo bude klesat dál a ten, kdo reagoval jako první, na prodeji vydělá. Jde-li o podvod, pak se trh pravděpodobně vrátí na předchozí, správně ohodnocenou úroveň a ten, kdo reagoval jako první, zůstane „na svém“, případně vydělá na pozicích nakoupených jako zajištění v době, kdy byl trh dole. Jeho algoritmus zafungoval bez ohledu na pravdivost zprávy.
Na podvodu kolem twitterového účtu @AP pravděpodobně prodělali ti, kdo na tuto zprávu nereagovali rychle, ale zareagovali až na pohyb trhu. Pravděpodobně se mezi těmito opozdilci vyskytovali sofistikovaní elektroničtí nebo institucionální obchodníci; někteří z nich nejspíš používali arbitrážní strategie, které se při výpočtu odpovídající ceny opírají o termínový trh.
Zranitelnost trhu vůči smyšleným zprávám se tak obtížně eliminuje, neboť tvoří součást jeho struktury. Nelze ji odbourat regulací ani napravit technologiemi či dohledem.
I kdyby se trhy pohybovaly pomaleji, stále by se vyskytoval někdo, kdo zareagoval jako první ještě dříve, než se ukázalo, že příslušná zpráva je podvod. Tato dynamika se podobá dynamice bubliny aktiv, pouze je rychlejší. V případě bubliny se hodnota vytváří na základě kolektivně vyhodnocovaných důkazů a ti, kdo vstoupí na trh jako první, z toho často těží. Ať už se vyhodnocuje předpoklad o růstu cen domů nebo posuzuje pravdivost určité zprávy, trh neposkytne definitivní odpověď okamžitě.
Pokud ochrana proti podvodům nespadá do sféry trhů, mohou podobným podvodům bránit zpravodajské agentury nebo nové mediální instituce, jako je Twitter? Toto fiasko samozřejmě poškodilo jejich reputaci, kterou se pravděpodobně pokusí zlepšit. Jejich úsilí však nebude dostatečné.
Zranitelná místa Twitteru byla technicky pochopená už před touto událostí a služba již podnikala kroky k důmyslnějšímu modelu ověřování (heslo v kombinaci s jednorázovým klíčem zasílaným formou textové zprávy či jiného zařízení). Twitter ho pravděpodobně brzy zavede. Měl by také zvážit volitelné přidání systému dvou klíčů, v jehož rámci se vyžaduje nezávislé potvrzení z odlišného účtu, než se navrhovaný tweet odešle. Taková opatření by sice zvýšila obtížnost hackerského proniknutí do systému, avšak žádná technologická úprava nemůže systém učinit neproniknutelným.
A co zranitelná místa AP? Krátce před odesláním podvodného tweetu zahájili útočníci pokus o „phishing“ e-mailů AP. Útoky zvané „phishing“, při nichž se některý zaměstnanec uvede v omyl a přiměje k odeslání hesla třetí straně nebo ke kliknutí na nedůvěryhodný odkaz, jímž se instaluje nepřátelský software, představují křížence mezi kulturními a technologickými selháními.
Útočníci jsou stále rafinovanější a posílají propracovanější e-maily, v nichž se někdy vydávají za důvěryhodné zdroje, které lákají nepozorné uživatele. Vytvoření kultury bezpečnosti je obtížné a často v rozporu s dynamickým a decentralizovaným pracovním prostředím hemžícího se zpravodajského sálu.
Jak se mění technologie, musí se změnit i povědomí o zranitelných místech a toto povědomí se musí rozšířit jinými cestami než podnikovými oběžníky, které jsou odtržené od každodenní provozní reality. Z empirického hlediska není mnoho firem, které si počínají správně: oběťmi hackerských útoků SEA se nedávno staly americké National Public Radio i britská BBC, zatímco u firem a došlo nedávno k narušení twitterových účtů. Rozšíření bezpečnostních lapsů má za následek, že nad nimi lidé pravděpodobně spíš pokrčí rameny, než aby jako první hodili kamenem na firmu, která se stala obětí útoku.
Je nepravděpodobné, že AP bude za tuto chybu nakonec čelit hrozbě finančního postihu. Žaloba za ztráty související s falešným tweetem by narazila na téměř nepřekonatelné překážky.
Protože jen málo mechanismů dokáže zabránit šíření podvodných tweetů a vzhledem k obrovské reakci, kterou mohou úspěšní hackeři očekávat, zůstane Twitter i nadále terčem zlovolných podvodů, i když technologické bariéry podobné útoky znesnadní. Americká Komise pro cenné papíry a burzy ostatně nedávno schválila využívání sociálních médií typu a Twitteru k rozesílání zpráv veřejně obchodovaných společností investorům. Představte si, co by se mohlo stát, kdyby z účtu @BP_America přišel následující tweet: „#Na vrtu v Perskem zalivu hlasena exploze. Zjistujeme podrobnosti.“
Motivy ke snaze nabourat se na podobné účty jsou zjevné: nejde jen o značnou publicitu pro hackery, ale i o vysoce lukrativní příležitost vydělat na téměř nevyhnutelných pohybech akciového trhu, které budou následovat. Na Twitteru stejně jako kdekoliv jinde tak platí heslo „bez záruky“.
Chris Clearfield je vedoucím pracovníkem System Logic, nezávislé výzkumné a konzultační firmy, která se zaměřuje na otázky rizik a složitostí. András Tilcsik je odborným asistentem strategického řízení na Rotmanově fakultě managementu Torontské univerzity.
Copyright: Project Syndicate, 2013.