Как только мы внедрили свое изобретение, количество успешных атак хакеров резко сократилось. Приблизительно на 80 процентов. Но мы не остановились на достигнутом и продолжали реализовывать разные идеи, пока число мошеннических операций не упало до 0,1–0,15 процента. Таким образом, нам удалось с помощью специальной программы значительно сократить финансовые потери компании. Очевидно, что в этом вопросе мы таки добились успеха.

Затем в добровольное «изгнание» отправилась Сара Имбач. Она переехала в город Омаха и сначала стала менеджером группы по противодействию атакам хакеров, а потом возглавила весь наш центр по изучению противоправных действий, содержание которого в связи со сменой дислокации стало обходиться нам значительно дешевле. Сара Имбач руководила специалистами центра, а я предоставлял ей все необходимое программное обеспечение. За год нам удалось взять под контроль нашу платежную систему и пресечь попытки кражи денежных средств.

Ливингстон. То есть решение проблемы хакерских атак стало результатом работы группы людей и создания программного обеспечения?

Левчин. Ответ на этот вопрос зависит от того, кого вы спросите. Думаю, что Сара поставит на первое место людей, а программисты скажут, что основная заслуга принадлежит использованным технологиям. Очень сложно оценить, что является мошенничеством. Чтобы принять окончательное решение, нужен или человек, или квантовый компьютер. Ведь дело касается денег, которые принадлежат другим людям. Вы ведь не хотите, чтобы компьютер решил: «Для вас сумма 2 долл. не имеет значения». Это похоже на мошенничество, но я не думаю, чтобы злоумышленник рисковал свой головой ради такой суммы.

Кроме того, существовали различные правила и исключения, когда мы говорили: «Даже несмотря на то что это преступное действие, мы не станем его расследовать, потому что…» Мы научились решать такие проблемы позже. Первоначально мы распределяли хакерские атаки по размеру убытков, но затем стали их сортировать по ожидаемым потерям. С помощью программных средств мы научились оценивать вероятность потерь. Затем, установив, о какой сумме идет речь, мы определяли значение ожидаемых убытков и по ним назначали категорию конкретного случая для наших исследователей. Они обрабатывают только 5 процентах случаев нарушения безопасности, которые определены как наиболее серьезные, и проверяют каждый из них по огромному перечню признаков мошеннической операции. Причем благодаря опыту и быстрой оценке конкретной ситуации им зачастую хватает даже половины этих признаков, чтобы выявить вероятную брешь. То есть мы определяем операции с самыми высокими ожидаемыми потерями. Это был один из методов, использованных нами при разработке программного обеспечения.

Ливингстон. Ваши конкуренты создали что‑то подобное?

Левчин. Мы долго хранили свои программы и методы в тайне и никогда не показывали пакет IGOR посторонним. И не рассказывали о нем прессе. Меня можно назвать параноиком. Но когда мы создали этот пакет, он был установлен на терминале, стоявшем в конференц‑зале. Наши сотрудники могли зайти в эту комнату, воспользоваться им и уйти. Другие копии пакета IGOR были недоступны.

Когда нам удалось справиться с хакерскими атаками, приложениями заинтересовались федеральные службы и власти штата Калифорния. Мы пригласили представителей власти в офис, но они могли только войти в конференц‑зал, использовать наши программы и уйти. Мы не разрешили ни копировать свои приложения, ни делать распечатки.

Ливингстон. Вы запатентовали программы?

Левчин. В действительности я не хотел получать патент. Во‑первых, мне не нравится сама идея патентов на программное обеспечение, а во‑вторых, если вы получаете его на что‑то, то должны обнародовать свое изобретение. Даже если никто не посягнет на него, все равно конкуренты получают преимущество. Поэтому мы решили сохранить коммерческую тайну и никому не показывать созданные приложения.

Со временем пакет приложений IGOR стал достаточно известным внутри компании, как и другие программные инструменты, разработанные ранее. Некоторые из них мы запатентовали, а другие сделали общедоступными для всех пользователей. Но до сих пор в PayPal применяются приложения, которые недоступны широкой общественности. О них у нас стараются не распространяться, и я считаю это правильным.

Ливингстон. То есть PayPal можно назвать компанией, специализирующейся в области безопасности?

Левчин. Я считаю, что PayPal можно описать так: компания, работающая в сфере безопасности и предоставляющая защищенные финансовые услуги. Ее деятельность заключается в том, чтобы оценить риск финансовой транзакции и взять его на себя. В действительности вам ничего не известно о надежности денежной операции. Вы просто распределяете оценки риска для обоих участников транзакции, а затем заявляете: «Я буду посредником этой операции, и в случае чего компания PayPal примет на себя ответственность за потери, если таковые произойдут». Положение посредника в данном случае оказывается весьма сложным.