Apakah Langkah Keselamatan Berkaitan Aset Kripto (Mata Wang Maya)? Penjelasan Bersama 3 Kes Kebocoran
Untuk menjalankan transaksi berkaitan dengan aset kripto (mata wang maya) dengan selamat, adalah sangat penting untuk memastikan langkah-langkah keselamatan yang mencukupi telah diambil. Dari sudut pandangan pengguna perkhidmatan, mereka tidak akan berani menggunakan perkhidmatan berkaitan aset kripto yang tidak mempunyai langkah keselamatan yang mencukupi.
Oleh itu, dalam artikel ini, kami akan memperkenalkan langkah-langkah keselamatan berkaitan aset kripto kepada para pengusaha yang menyediakan perkhidmatan berkaitan aset kripto.
Kepentingan Langkah Keselamatan untuk Aset Kripto (Mata Wang Maya)
Bagi pengusaha yang menyediakan perkhidmatan berkaitan aset kripto, langkah keselamatan adalah sangat penting.
Contohnya, jika berlaku serangan siber oleh penggodam, sistem boleh mengalami gangguan, menyebabkan transaksi berkaitan aset kripto tidak dapat dilakukan. Ini boleh memberi kesan besar kepada transaksi aset kripto yang dilakukan oleh pengguna perkhidmatan.
Selain itu, bergantung kepada kandungan perkhidmatan berkaitan aset kripto, terdapat kes di mana pengusaha menguruskan aset kripto pengguna. Jika langkah keselamatan tidak mencukupi, serangan siber boleh menyebabkan aset kripto pengguna bocor.
Tambahan pula, kerana transaksi aset kripto dilakukan melalui internet, transaksi merentasi sempadan negara akan berlaku. Jika aset kripto bocor merentasi sempadan, ia mungkin menjadi sukar untuk dijejaki.
Oleh itu, sebagai pengusaha yang menyediakan perkhidmatan berkaitan aset kripto, langkah keselamatan untuk aset kripto adalah sangat penting dari segi menjamin keselamatan perkhidmatan untuk melindungi pengguna dan mengelakkan kewajipan pampasan kerugian kepada pengguna dengan melindungi sistem daripada serangan siber.
Kepentingan Langkah Keselamatan yang Dipelajari dari Insiden Kebocoran Aset Kripto
Mengenai kebocoran aset kripto, banyak insiden telah berlaku pada masa lalu.
Dengan mengetahui insiden kebocoran aset kripto, kita dapat mempelajari betapa pentingnya langkah keselamatan berkaitan aset kripto. Oleh itu, berikut adalah pengenalan kepada tiga insiden kebocoran yang berlaku di Jepun.
Insiden Pengaliran Aset Kripto Coincheck Co., Ltd. (Januari 2018)
Insiden pengaliran aset kripto Coincheck Co., Ltd. berlaku pada 26 Januari 2018.
Secara ringkas, insiden ini melibatkan pengaliran aset kripto NEM (NEM) milik pengguna perkhidmatan yang diuruskan oleh Coincheck, sebuah bursa aset kripto yang dikendalikan oleh Coincheck Co., Ltd., akibat penggodaman sistem Coincheck.
Jumlah kerugian dianggarkan sekitar 58 bilion yen, dan kerana jumlah kerugian yang besar, insiden ini mendapat liputan meluas. Selain di Jepun, insiden pengaliran aset kripto Coincheck Co., Ltd. ini juga menjadi topik hangat di luar negara.
Punca insiden pengaliran aset kripto Coincheck Co., Ltd. ini dikatakan berpunca daripada kelemahan langkah keselamatan Coincheck.
Coincheck menggunakan dompet panas yang disambungkan ke internet, dan dalam masa kira-kira 20 minit, sekitar 58 bilion yen NEM (NEM) telah dialirkan keluar.
Dari segi langkah keselamatan, secara umum, dompet sejuk yang tidak disambungkan ke internet dianggap lebih baik.
Coincheck Co., Ltd. telah memberikan pampasan kepada pengguna, tetapi insiden ini berkembang sehingga menerima tindakan pentadbiran seperti pengumpulan laporan, perintah penambahbaikan operasi, dan pemeriksaan oleh Agensi Perkhidmatan Kewangan Jepun.
Rujukan: Agensi Perkhidmatan Kewangan Jepun “Mengenai Tindakan Pentadbiran terhadap Coincheck Co., Ltd.”[ja]
Untuk maklumat lanjut mengenai jenis dompet dan peraturan undang-undang, sila rujuk artikel di bawah.
Artikel berkaitan: Apakah Dompet yang Diperlukan untuk Perdagangan NFT? Penjelasan Mengenai Peraturan Undang-Undang di Jepun[ja]
Insiden Kebocoran Aset Kripto oleh Tech Bureau Corporation (September 2018)
Insiden kebocoran aset kripto oleh Tech Bureau Corporation berlaku pada 14 September 2018.
Secara ringkas, insiden ini melibatkan akses tidak sah dari luar yang menyebabkan kebocoran aset kripto bernilai kira-kira 7 bilion yen dari Zalf, sebuah bursa aset kripto yang diuruskan oleh Tech Bureau Corporation.
Daripada jumlah kira-kira 7 bilion yen tersebut, kira-kira 4.5 bilion yen adalah aset kripto milik pengguna perkhidmatan.
Seperti insiden kebocoran aset kripto oleh Coincheck Corporation, insiden kebocoran aset kripto oleh Tech Bureau Corporation juga melibatkan pengurusan aset kripto melalui hot wallet yang disambungkan ke internet.
Akibat insiden kebocoran aset kripto oleh Tech Bureau Corporation ini, Tech Bureau Corporation menerima tiga perintah penambahbaikan operasi daripada Agensi Perkhidmatan Kewangan Jepun.
Rujukan: Agensi Perkhidmatan Kewangan Jepun “Mengenai Tindakan Pentadbiran terhadap Tech Bureau Corporation”[ja]
Pada November 2018, Tech Bureau Corporation memindahkan perniagaan perdagangan aset kripto “Zaif” dan menjadi yang pertama dalam kalangan pengendali pertukaran aset kripto untuk menghentikan perniagaan pertukaran aset kripto.
Insiden Kebocoran Aset Kripto di Bitpoint Japan Co., Ltd. (Julai 2019)
Insiden kebocoran aset kripto di Bitpoint Japan Co., Ltd. berlaku pada 11 Julai 2019.
Secara ringkas, insiden ini melibatkan kebocoran aset kripto bernilai kira-kira 3.5 bilion yen dari BITPOINT, sebuah bursa aset kripto yang dikendalikan oleh Bitpoint Japan Co., Ltd.
Daripada kira-kira 3.5 bilion yen aset kripto yang bocor, kira-kira 2 bilion yen adalah aset kripto milik pengguna perkhidmatan.
Seperti insiden kebocoran aset kripto yang disebutkan sebelum ini, sebahagian daripada aset kripto dalam insiden kebocoran aset kripto di Bitpoint Japan Co., Ltd. ini juga dikendalikan melalui dompet panas yang disambungkan ke internet.
BITPOINT telah menggantikan kira-kira 2 bilion yen aset kripto milik pengguna perkhidmatan yang bocor.
Gambaran Keseluruhan Langkah Keselamatan
Seperti yang dinyatakan dalam insiden kebocoran aset kripto sebelum ini, apabila kebocoran aset kripto berlaku, ia akan menyebabkan kerugian dan kesan yang besar. Selain daripada menggantikan aset kripto yang bocor, terdapat juga isu risiko reputasi.
Untuk mengelakkan masalah-masalah ini, adalah penting untuk melaksanakan langkah keselamatan yang kukuh.
Dalam “Peraturan Kabinet mengenai Perniagaan Pertukaran Aset Kripto” Jepun[ja], Artikel 13 menetapkan perkara berikut.
Artikel 13: Pengendali pertukaran aset kripto mesti mengambil langkah-langkah yang mencukupi untuk mengurus organisasi pemprosesan maklumat elektronik yang berkaitan dengan perniagaan pertukaran aset kripto, mengikut kandungan dan kaedah perniagaan pertukaran aset kripto yang dijalankan.
Selain itu, Agensi Perkhidmatan Kewangan Jepun telah menerbitkan “Bahagian Ketiga: Berkenaan Syarikat Kewangan”[ja], dan pada halaman 59 dan seterusnya dalam “16 Berkenaan Pengendali Pertukaran Aset Kripto”, item-item khusus telah ditetapkan seperti berikut.
⑸ Pengurusan Keselamatan Siber
① Adakah lembaga pengarah dan lain-lain telah mengiktiraf kepentingan keselamatan siber dan menyediakan langkah-langkah yang diperlukan, dengan mengambil kira serangan siber yang semakin canggih dan licik?
② Adakah organisasi telah mengatur struktur organisasi, menetapkan peraturan dalaman, dan membangunkan langkah-langkah pengurusan keselamatan siber seperti berikut?
・ Sistem pemantauan terhadap serangan siber
・ Sistem pelaporan dan komunikasi apabila menerima serangan siber
・ Sistem tindak balas kecemasan dan amaran awal seperti CSIRT (Computer Security Incident Response Team) dalam organisasi
・ Sistem pengumpulan dan perkongsian maklumat melalui agensi perkongsian maklumat, dan lain-lain
③ Adakah organisasi telah melaksanakan pertahanan berlapis yang menggabungkan langkah-langkah keselamatan siber berperingkat seperti langkah pencegahan di pintu masuk, langkah dalaman, dan langkah pencegahan di pintu keluar berdasarkan risiko?
・ Langkah pencegahan di pintu masuk (contohnya, pemasangan firewall, pemasangan perisian antivirus, pemasangan sistem pengesanan pencerobohan tidak sah, pemasangan sistem pencegahan pencerobohan tidak sah, dan lain-lain)
・ Langkah dalaman (contohnya, pengurusan ID dan kata laluan yang berhak, penghapusan ID yang tidak diperlukan, pemantauan pelaksanaan arahan tertentu, pengamanan sistem produksi (antara pelayan) (penapisan paket atau penyulitan komunikasi), pemisahan rangkaian antara persekitaran pembangunan (termasuk persekitaran ujian) dan persekitaran sistem produksi, pemisahan segmen rangkaian mengikut tujuan penggunaan, dan lain-lain)
・ Langkah pencegahan di pintu keluar (contohnya, pengambilan dan analisis log komunikasi dan log acara, pengesanan dan penyekatan komunikasi yang tidak sesuai, dan lain-lain)
④ Adakah organisasi telah menyediakan langkah-langkah seperti berikut untuk mencegah penyebaran kerosakan apabila menerima serangan siber?
・ Pengenalpastian dan penyekatan alamat IP sumber serangan
・ Fungsi untuk mengagihkan akses secara automatik terhadap serangan DDoS
・ Penghentian sementara keseluruhan atau sebahagian sistem, dan lain-lain
Selain itu, adakah organisasi telah menyediakan prosedur untuk penyiasatan selepas kejadian (penyiasatan forensik) seperti pemeliharaan log dan pengambilan salinan imej untuk mengesahkan skop kesan dan menentukan punca?
⑤ Adakah organisasi telah menetapkan dan melaksanakan prosedur pengumpulan, analisis, dan tindak balas maklumat mengenai kelemahan dan ancaman secara berkala?
Selain itu, adakah organisasi telah melaksanakan langkah-langkah yang diperlukan seperti pengemaskinian OS dan penggunaan patch keselamatan untuk menangani kelemahan sistem pada masa yang tepat?
⑥ Adakah organisasi telah melaksanakan penilaian berkala terhadap tahap keselamatan dengan menggunakan diagnosis keselamatan pihak ketiga (agensi luar) (diagnosis kelemahan, diagnosis kod sumber, ujian penembusan, dan lain-lain) untuk meningkatkan langkah-langkah keselamatan?
Selain itu, adakah organisasi telah melakukan penilaian risiko yang sesuai apabila berlaku insiden pelanggaran keselamatan siber di dalam atau luar negara?
⑦ Apabila melakukan transaksi tanpa bersemuka menggunakan internet dan lain-lain, adakah organisasi telah memperkenalkan kaedah pengesahan yang sesuai dengan risiko transaksi seperti berikut?
・ Kaedah pengesahan yang tidak hanya bergantung pada ID dan kata laluan tetap, seperti kata laluan berubah-ubah atau sijil elektronik
・ Pengesahan transaksi melalui pelbagai saluran, seperti menggunakan peranti yang berbeza daripada komputer atau telefon pintar yang digunakan untuk transaksi
・ Penggunaan kata laluan transaksi yang berbeza daripada kata laluan log masuk, dan lain-lain
⑧ Apabila melakukan transaksi tanpa bersemuka menggunakan internet dan lain-lain, adakah organisasi telah melaksanakan langkah-langkah pencegahan penipuan yang sesuai dengan operasi seperti berikut?
・ Penyekatan komunikasi dari alamat IP yang tidak sah
・ Langkah-langkah untuk menggalakkan pengguna memasang dan mengemaskini perisian keselamatan yang dapat mengesan dan menghapuskan virus, dan lain-lain
・ Sistem untuk mengesan log masuk yang tidak sah, transaksi yang tidak normal, dan lain-lain, serta segera menghubungi pengguna
・ Paparan tarikh dan masa log masuk (log keluar) terakhir pada skrin, dan lain-lain
⑨ Adakah organisasi telah merangka pelan kontingensi yang mengandaikan serangan siber dan melaksanakan latihan serta semakan semula? Selain itu, adakah organisasi telah menyertai latihan merentas industri jika perlu?
⑩ Adakah organisasi telah merangka dan melaksanakan pelan untuk melatih dan memperluaskan tenaga kerja yang berkaitan dengan keselamatan siber?
Seperti yang dinyatakan di atas, langkah-langkah keselamatan yang perlu diambil oleh pengendali pertukaran aset kripto telah ditetapkan secara spesifik dan terperinci. Oleh itu, adalah penting untuk pengendali aset kripto mengesahkan sama ada langkah-langkah keselamatan ini telah dilaksanakan dengan mematuhi undang-undang dan garis panduan Agensi Perkhidmatan Kewangan Jepun.
Selain langkah-langkah keselamatan, pengendali pertukaran aset kripto juga tertakluk kepada pelbagai peraturan lain. Sila rujuk artikel berikut untuk penjelasan lanjut.
Artikel berkaitan: Apakah Perkhidmatan Penjagaan? Penjelasan Mengenai Peraturan Terhadap Pengendali Pertukaran Aset Kripto[ja]
Kesimpulan: Untuk Pertanyaan Mengenai Isu Hukum dalam Permainan Blockchain, Sila Rujuk kepada Peguam
Di atas, artikel ini memperkenalkan langkah-langkah keselamatan berkaitan aset kripto kepada para pengusaha yang menyediakan perkhidmatan berkaitan aset kripto.
Untuk melaksanakan langkah-langkah keselamatan yang mencukupi berkaitan aset kripto, penting untuk membina organisasi yang mampu melaksanakan langkah-langkah keselamatan yang mencukupi.
Oleh itu, bagi pengusaha yang mempertimbangkan langkah-langkah keselamatan berkaitan aset kripto, kami mengesyorkan agar anda terlebih dahulu berunding dengan peguam yang mempunyai pengetahuan khusus dalam kedua-dua bidang IT dan undang-undang, dan membina sistem yang mampu melaksanakan langkah-langkah keselamatan yang mencukupi selaras dengan undang-undang dan garis panduan.
Panduan Langkah-langkah oleh Firma Kami
Monolith Law Office adalah sebuah firma guaman yang mempunyai kepakaran tinggi dalam bidang IT, khususnya internet dan undang-undang. Firma kami menyediakan sokongan menyeluruh untuk perniagaan yang berkaitan dengan aset kripto dan blockchain. Maklumat terperinci boleh didapati dalam artikel di bawah.
Category: IT
