ГИС

Сфера криптовалют с позиции информационной безопасности

Сфера криптовалют с позиции информационной безопасности
Сфера криптовалют с позиции информационной безопасности
16.11.2022

Мнения о крипторынках, как правило, полярны: одни считают их эффективным финансовым инструментом, другие – нестабильным активом с высокой активностью. Однако нельзя отрицать, что криптовалюты прочно закрепились в мировой и российской практике. И как инвестиционный продукт, и как операционный – для разовых или периодических покупок, например, товаров за границей, где возможности традиционных финансовых институтов ограничены из-за геополитического кризиса и санкций.

О росте интереса российского общества к криптовалютам косвенно говорит и увеличение количества криптоматов, через которые можно физически пополнить электронные кошельки. Однако, вместе с повышением вовлеченности общества в крипторынки, растут и риски кибербезопасности, связанные с основными элементами инфраструктуры такого рода – биржами и кошельками.

В этой статье будут разобраны особенности криптоиндустрии с точки зрения информационной безопасности, вопросы анонимности бирж криптовалют и другие риски, которые характерны для этого направления.

Криптобиржа как финансовый институт

Первые же проблемы криптовалют лежат на базовом уровне ИБ – законодательном. Если деятельность банков, «традиционных» бирж и других финансовых институтов достаточно регламентирована с точки зрения информационной безопасности и правил работы с финансами, клиентскими данными, то криптобиржи в этом плане не регулируются практически нигде.

Отсутствие единых правил и стандартов в сфере кибербезопасности криптобирж и криптообменников порождает ситуацию, в которой уровень доверия с точки зрения кибербезопасности практически к любой организации будет околонулевой – поскольку никаких гарантий наличия защитных механизмов, кроме заверений администрации самой биржи, нет.

Единственным мерилом безопасности становится количество известных инцидентов, которые произошли с конкретным проектом. Здесь важно отметить тот факт, что многие крипто-стартапы изначально не предполагают «долгой жизнеспособности» и, по аналогии с мыльным пузырем, изживают себя раньше, чем злоумышленники успевают обратить на себя внимание.

Особняком стоят проблемы инсайдерской деятельности, демпинга, аналогов финансовых пирамид и других проектов, которые, скорее, относятся к финансовым рискам, чем к рискам кибербезопасности.

Анти Данилевский

СЕО и основатель Kick Ecosystem

На мой взгляд, самой обширной проблематикой для криптоиндустрии в контексте кибербезопасности является комплаенс.

С учетом того, как сильно взялись во всем мире за регулирование централизованных бирж, это может стать большой головной болью.

Из инструментов, которые можно здесь использовать, можно назвать достаточно известный продукт компании Elliptic.

Отойдя от комплаенса, все остальные угрозы видятся в плоскости «присвоения себе злоумышленником активов компании», будь то учетные данные пользователей или финансовые средства. Поэтому здесь вряд ли что-то изменится глобально, может быть, только появятся новые техники.

Плюс ко всему, катаклизмы на финансовых рынках всегда приводят к появлению большого количества желающих быстро заработать и такого же большого количества разнообразных мошенников, которые теми или иными способами пытаются выманить деньги или другие активы у доверчивых пользователей.

Важно отметить предпосылки того, что государственная политика в отношении криптовалют постепенно меняется. Применительно к России, есть все основания полагать, что регуляция криптовалют пойдет по пути регуляции деятельности традиционных финансовых институтов. Однако, для достижения результата такой подход должен стать мировым трендом.

В то же время, повышение внимания государственных институтов к криптобиржам чревато нивелированием главного преимущества – анонимности криптовалют.

Проблемы на других уровнях безопасности

Административный уровень безопасности криптовалют наиболее дуалистичен, поскольку, с одной стороны, у всех руководителей есть естественное желание защищать свою инфраструктуру, но взгляды на способы защиты и «лучшие практики» бывают очень разными.

Например, распространена практика заморозки скомпрометированных кошельков. Одним из примеров может послужить биржа крипты Huobi, которая заморозила краденные активы EOS42 в феврале этого года.

Возможность блокировки кошелька со стороны биржи привела к тому, что появились целые сервисы анализа рисков такого исхода. Наиболее известный из такого рода инструментов – это AML.

А вот для программно-технического и процедурных уровней характерны «классические болячки» кибербезопасности, к которым можно отнести:

  • отсутствие четких регламентов реагирования на инциденты;
  • недостаточный уровень оснащенности техническими средствами защиты;
  • дефицит либо отсутствие профильных специалистов в команде проектов.

Есть и побочные явления, которые не влияют на функционирование крипторынка напрямую, но вызваны им и относятся к информационной безопасности. Например, к таковым можно отнести появление майнинг-ботов и их распространение с помощью технологий распространения ВПО. Прямой задачи нанести ущерб «жертве» они не несут, но негативно влияют на производительность устройства и срок его эксплуатации.

Безопасность криптокошельков

Большинство конечных пользователей наиболее внимательны к безопасности именно криптокошельков, поскольку считают ее тождественной безопасности своего лицевого счета. На практике это не совсем так, поскольку « точкой входа» для хакеров может быть не только пара логин-пароль, но и уязвимости в инфраструктуре самой биржи, криптопроекта.

Глеб Гарусов

Эксперт по криптовалютам

Следует отметить, что даже биткоин не так безопасен, как его позиционируют. Иногда происходят взломы и утечки в рамках блокчейн, однако их не принято афишировать, чтобы не разрушать иллюзию полной защищенности. Также стоит учитывать то, что данные блокчейна, которые хранятся на вашем устройстве или в вашем кабинете (запись о числе средств в кошельке, как пример) – не означает, что информация полностью хранится у вас, ведь у вас просто хранится адрес и пароль для доступа к этой информации.

В остальном проекты делятся на несколько типов:

1) Аппаратные кошельки – физические устройства, вся информация на которых хранится оффлайн. Самый надежный и безопасный способ взаимодействия с криптовалютами.

2) Некастодиальные кошельки – это программный инструмент, ключи доступа от которого, если объяснять просто, хранятся только у пользователя и даже компания разработчик кошелька не сможет получить к нему доступ в случае, например, если пользователь забудет пароль.

Надо отметить, что даже эти типы аккаунтов могут быть скомпрометированы и у мошенников есть способ получить к ним доступ, правда для того вы должны сами ему его предоставить.

3) Далее идут DEX-решения, которые предполагают децентрализованное хранение данных. В теории они безопасны и анонимны, но на практике уже начиная с этого уровня – есть способы получить информацию о транзакциях.

4) CEX и кастодиальные решения предполагают хранение данных в одном месте (например личной информации пользователей), а значит имеют ровно те же уязвимости, что и классические системы. Однако следует помнить, что если вернуть украденные деньги теоретически можно, то украденные крипто-активы – практически невозможно.

Важно понимать тот факт, что криптовалюты перестали быть узким сектором деятельности, где вращаются специалисты отрасли. Благодаря популяризации через разные направления (от медийных проектов типа STEPN до деятельности «коучей» и криптоинвесторов), в отрасль пришло много людей, которых можно идентифицировать как «неквалифицированные инвесторы».

Они куда более уязвимы с точки зрения фишинга, социальной инженерии и других инструментов получения паролей от кошельков. Важно помнить, что если взлом произошел через кражу пароля у пользователя – даже лучшая и анонимная биржа криптовалют просто откажется покрывать ущерб.

Итоги

У криптоиндустрии сейчас есть два вектора развития:

  1. В котором анонимность остается приоритетом, но высокий уровень кибербезопасности ничем не гарантирован, и всегда есть риск что биржа критически пострадает в ходе взлома и будет вынуждена, как минимум, приостановить свою деятельность, по примеру Deribit.
  2. В котором роль государственного регулирования в сфере криптовалют постепенно растет, причем во всех ведущих государствах. Это неизбежно скажется на уровне анонимности криптобирж, но может послужить драйвером роста уровня их информационной безопасности.

Вероятнее всего, в среднесрочной перспективе мы будем видеть, как наиболее централизованные и крупные проекты будут двигаться в сторону стандартизации и регламентирования деятельности со стороны государственных институтов разных стран, а небольшие проекты наоборот, будут пытаться перетянуть к себе аудиторию, для которой приоритетом остается высокий уровень анонимности владения и транзакций.


Комментарии 0