Hva er sikkerhetstiltakene for kryptovaluta (virtuell valuta)? En forklaring med tre tilfeller av lekkasje
For å gjennomføre transaksjoner med kryptovaluta (virtuell valuta) på en sikker måte, er det ekstremt viktig at tilstrekkelige sikkerhetstiltak er på plass. Fra brukernes perspektiv er det skremmende å benytte seg av tjenester knyttet til kryptovaluta dersom sikkerhetstiltakene ikke er tilstrekkelige.
I denne artikkelen vil vi derfor introdusere sikkerhetstiltak for kryptovaluta til virksomheter som tilbyr tjenester relatert til kryptovaluta.
Viktigheten av sikkerhetstiltak for kryptovaluta
For virksomheter som tilbyr tjenester relatert til kryptovaluta, er sikkerhetstiltak ekstremt viktig.
For eksempel, hvis et system blir utsatt for et cyberangrep fra hackere, kan det føre til systemfeil som gjør det umulig å gjennomføre transaksjoner med kryptovaluta. Dette kan ha stor innvirkning på brukerne som utfører transaksjoner med kryptovaluta.
Videre, avhengig av innholdet i tjenestene relatert til kryptovaluta, kan det være tilfeller hvor virksomheten administrerer brukernes kryptovaluta. Hvis sikkerhetstiltakene ikke er tilstrekkelige, kan cyberangrep føre til at brukernes kryptovaluta blir stjålet.
I tillegg, siden transaksjoner med kryptovaluta utføres over internett, kan de krysse landegrenser. Hvis kryptovalutaen blir stjålet over landegrensene, kan det bli svært vanskelig å spore den opp.
Derfor er sikkerhetstiltak for kryptovaluta ekstremt viktig for virksomheter som tilbyr tjenester relatert til kryptovaluta. Dette gjelder både for å beskytte brukerne ved å garantere tjenestens sikkerhet, og for å unngå erstatningsansvar overfor brukerne ved å beskytte systemet mot cyberangrep.
Viktigheten av sikkerhetstiltak fra hendelser med tap av kryptovaluta
Det har vært mange hendelser med tap av kryptovaluta tidligere.
Ved å lære om hendelser med tap av kryptovaluta, kan vi forstå hvor viktig sikkerhetstiltak knyttet til kryptovaluta er. Nedenfor introduserer vi tre hendelser som har skjedd i Japan.
Hendelsen med kryptovalutatap hos Coincheck Co., Ltd. (januar 2018)
Hendelsen med kryptovalutatap hos Coincheck Co., Ltd. skjedde 26. januar 2018.
Hendelsen innebærer at kryptovalutaen NEM, som ble administrert av Coincheck, en kryptovalutabørs drevet av Coincheck Co., Ltd., ble stjålet gjennom hacking av Coinchecks system.
Det totale tapet er anslått til omtrent 58 milliarder yen, og på grunn av det høye tapet fikk hendelsen stor medieoppmerksomhet. Hendelsen ble også omtalt internasjonalt, ikke bare i Japan.
Årsaken til hendelsen med kryptovalutatap hos Coincheck Co., Ltd. sies å være svak sikkerhet hos Coincheck.
Coincheck brukte en hot wallet, som er en lommebok tilkoblet internett, og i løpet av omtrent 20 minutter ble rundt 58 milliarder yen i NEM stjålet.
Generelt anses en cold wallet, som er en lommebok som ikke er tilkoblet internett, for å være sikrere som sikkerhetstiltak.
Coincheck Co., Ltd. kompenserte brukerne, men hendelsen førte til administrative sanksjoner som innsamling av rapporter, ordre om forbedring av virksomheten og inspeksjoner fra det japanske finanstilsynet.
Referanse: Det japanske finanstilsynet “Om administrative sanksjoner mot Coincheck Co., Ltd.”[ja]
For mer informasjon om typer lommebøker og lovreguleringer, se artikkelen nedenfor.
Relatert artikkel: Hva er nødvendige lommebøker for NFT-handel? En forklaring på lovreguleringer i Japan[ja]
Tech Bureau, Inc. sin kryptovaluta-tyverisak (september 2018)
Tech Bureau, Inc. sin kryptovaluta-tyverisak skjedde 14. september 2018.
Hendelsen innebærer at omtrent 7 milliarder yen i kryptovaluta ble stjålet fra Zalf, en kryptovalutabørs drevet av Tech Bureau, Inc., gjennom uautorisert tilgang fra eksterne kilder.
Av de omtrent 7 milliarder yen, var omtrent 4,5 milliarder yen av kryptovalutaen tilhørende tjenestebrukere.
Som med Coincheck, Inc. sin kryptovaluta-tyverisak, ble kryptovalutaen i Tech Bureau, Inc. sin sak også administrert gjennom en hot wallet, som er en lommebok tilkoblet internett.
Som et resultat av denne kryptovaluta-tyverisaken, mottok Tech Bureau, Inc. tre forretningsforbedringsordrer fra det japanske Financial Services Agency.
Referanse: Financial Services Agency “Om administrative sanksjoner mot Tech Bureau, Inc.”[ja]
I november 2018 overførte Tech Bureau, Inc. sin kryptovalutabørs “Zaif” og ble den første kryptovalutabørsen i Japan som avviklet sin virksomhet.
Bitpoint Japan Co., Ltd. sin kryptovaluta-lekkasjehendelse (juli 2019)
Bitpoint Japan Co., Ltd. sin kryptovaluta-lekkasjehendelse skjedde 11. juli 2019.
Hendelsen innebærer at omtrent 3,5 milliarder yen i kryptovaluta lekket fra BITPOINT, en kryptovalutabørs drevet av Bitpoint Japan Co., Ltd.
Av de lekkede omtrent 3,5 milliarder yen i kryptovaluta, var omtrent 2 milliarder yen av dette brukernes kryptovaluta.
Også i denne kryptovaluta-lekkasjehendelsen hos Bitpoint Japan Co., Ltd., som i den tidligere nevnte lekkasjehendelsen, ble en del av kryptovalutaen administrert gjennom hot wallets som er tilkoblet internett.
BITPOINT kompenserte for de lekkede omtrent 2 milliarder yen i brukernes kryptovaluta.
Oversikt over sikkerhetstiltak
Som nevnt i det tidligere tilfellet med utstrømming av kryptovaluta, kan en slik hendelse føre til betydelige tap og påvirkninger. I tillegg til å dekke tapet av utstrømmende kryptovaluta, oppstår også problemer knyttet til omdømmerisiko.
For å unngå disse problemene er det viktig å gjennomføre grundige sikkerhetstiltak.
I “Japansk forskrift om kryptovalutavekslingstjenester”[ja] er det i artikkel 13 fastsatt følgende:
Artikkel 13: Kryptovalutavekslingsoperatører må, i samsvar med innholdet og metodene for deres kryptovalutavekslingsvirksomhet, iverksette tiltak for å sikre tilstrekkelig styring av elektroniske informasjonssystemer knyttet til kryptovalutaveksling.
Videre har det japanske finanstilsynet (FSA) offentliggjort “Tredje bind: Relasjoner til finansselskaper”[ja], hvor spesifikke punkter er fastsatt fra side 59 og utover i kapittelet “16 Relasjoner til kryptovalutavekslingsoperatører”.
⑸ Cybersikkerhetsstyring
① Når det gjelder cybersikkerhet, har styret og lignende organer, med tanke på at cyberangrep blir stadig mer avanserte og sofistikerte, anerkjent viktigheten av cybersikkerhet og etablert nødvendige tiltak?
② Når det gjelder cybersikkerhet, har organisasjonen etablert en struktur og utarbeidet interne regler, samt implementert følgende cybersikkerhetsstyringstiltak?
・ Overvåkingssystem for cyberangrep
・ Rapportering og PR-system ved cyberangrep
・ Nødberedskap og tidlig varsling gjennom interne CSIRT (Computer Security Incident Response Team) eller lignende
・ System for innsamling og deling av informasjon gjennom informasjonsdelingsorganer, etc.
③ For å forberede seg på cyberangrep, har organisasjonen implementert flerlagsforsvar som kombinerer risikobaserte tiltak ved inngang, internt og utgang?
・ Inngangstiltak (for eksempel installasjon av brannmur, antivirusprogramvare, systemer for deteksjon og forebygging av uautorisert tilgang, etc.)
・ Interne tiltak (for eksempel riktig administrasjon av privilegerte ID-er og passord, sletting av unødvendige ID-er, overvåking av spesifikke kommandoer, sikring av produksjonssystemer (mellom servere) (pakke-filtrering og kryptering av kommunikasjon), nettverksseparasjon mellom utviklingsmiljø (inkludert testmiljø) og produksjonssystemmiljø, nettverkssegmentering i henhold til bruksformål, etc.)
・ Utgangstiltak (for eksempel innhenting og analyse av kommunikasjonslogger og hendelseslogger, deteksjon og blokkering av upassende kommunikasjon, etc.)
④ For å forhindre skadeutvidelse ved cyberangrep, har organisasjonen etablert tiltak for raskt å implementere følgende tiltak?
・ Identifisering og blokkering av IP-adresser til angrepskilder
・ Funksjon for automatisk å spre tilgang ved DDoS-angrep
・ Midlertidig stans av hele eller deler av systemet, etc.
Har organisasjonen også etablert prosedyrer for etterforskning (forensisk undersøkelse) som loggbevaring og innhenting av bildekopier for å bekrefte omfanget av påvirkningen og finne årsaken?
⑤ Har organisasjonen klart definert og systematisk implementert prosedyrer for regelmessig innsamling, analyse og respons på informasjon om sårbarheter og trusler?
Har organisasjonen også tatt nødvendige tiltak som oppdatering av operativsystemer og anvendelse av sikkerhetspatcher i tide for å håndtere systemets sårbarheter?
⑥ Når det gjelder cybersikkerhet, har organisasjonen regelmessig evaluert sikkerhetsnivået og forbedret sikkerhetstiltakene ved å bruke sikkerhetsdiagnoser (sårbarhetsdiagnoser, kildekodevurderinger, penetrasjonstester, etc.) fra tredjeparter (eksterne organer)?
Har organisasjonen også utført risikovurderinger etter behov når det oppstår cybersikkerhetsbrudd i Japan eller utlandet?
⑦ Når organisasjonen utfører ikke-ansikt-til-ansikt-transaksjoner ved bruk av internett eller andre kommunikasjonsmidler, har den implementert passende autentiseringsmetoder som samsvarer med risikoen ved slike transaksjoner?
・ Autentiseringsmetoder som ikke bare er avhengige av faste ID-er og passord, som variable passord og elektroniske sertifikater
・ Transaksjonsautentisering gjennom flere kanaler, for eksempel ved å bruke en annen enhet enn datamaskinen eller smarttelefonen som brukes til transaksjonen
・ Bruk av et transaksjonspassord som er forskjellig fra innloggingspassordet, etc.
⑧ Når organisasjonen utfører ikke-ansikt-til-ansikt-transaksjoner ved bruk av internett eller andre kommunikasjonsmidler, har den implementert svindelforebyggende tiltak som er tilpasset virksomheten?
・ Blokkering av kommunikasjon fra uautoriserte IP-adresser
・ Tiltak for å oppmuntre brukere til å installere og oppdatere sikkerhetsprogramvare som kan oppdage og fjerne virus, etc.
・ Etablering av et system for raskt å varsle brukere ved deteksjon av uautorisert innlogging eller unormale transaksjoner
・ Vise tidspunktet for forrige innlogging (utlogging) på skjermen, etc.
⑨ Har organisasjonen utarbeidet en beredskapsplan for cyberangrep og gjennomført øvelser og revisjoner? Deltar organisasjonen også i tverrsektorielle øvelser etter behov?
⑩ Når det gjelder cybersikkerhetsrelatert personell, har organisasjonen utarbeidet og implementert en plan for å utvikle og utvide disse ressursene?
Som nevnt ovenfor, er sikkerhetstiltakene som kryptovalutavekslere bør ta, spesifisert konkret og detaljert. Derfor er det viktig for kryptovalutavekslere å nøye sjekke japanske lover og retningslinjer fra Financial Services Agency (FSA) og sikre at sikkerhetstiltakene er i samsvar med disse punktene.
I tillegg er kryptovalutavekslere underlagt ulike andre reguleringer. For mer informasjon, se artikkelen nedenfor.
Relaterte artikler: Hva er depotvirksomhet? En forklaring på reguleringer for kryptovalutavekslere[ja]
Oppsummering: Rådfør deg med en advokat om juridiske problemer i blockchain-spill
Ovenfor har vi introdusert sikkerhetstiltak relatert til kryptovaluta for virksomheter som tilbyr tjenester knyttet til kryptovaluta.
For å implementere tilstrekkelige sikkerhetstiltak for kryptovaluta, er det også viktig å bygge en organisasjon som kan gjennomføre slike tiltak.
Derfor anbefaler vi at virksomheter som vurderer sikkerhetstiltak for kryptovaluta først rådfører seg med en advokat med spesialkunnskap innen både IT og jus, for å etablere et system som kan gjennomføre tilstrekkelige sikkerhetstiltak i samsvar med japanske lover og retningslinjer.
Veiledning om tiltak fra vårt firma
Monolith Advokatfirma er et advokatfirma med høy ekspertise innen IT, spesielt internett og jus. Vårt firma tilbyr omfattende støtte til virksomheter som involverer kryptovaluta og blockchain. Detaljer er beskrevet i artikkelen nedenfor.
Category: IT
