Vad är säkerhetsåtgärder för kryptovalutor (virtuell valuta)? En förklaring tillsammans med tre fall av läckage
För att säkert genomföra transaktioner med kryptovalutor (virtuella valutor) är det av yttersta vikt att adekvata säkerhetsåtgärder är på plats. Ur en användares perspektiv kan det vara skrämmande att använda tjänster relaterade till kryptovalutor om säkerhetsåtgärderna inte är tillräckliga.
I denna artikel kommer vi att rikta oss till företag som erbjuder tjänster relaterade till kryptovalutor och presentera olika säkerhetsåtgärder för kryptovalutor.
Vikten av säkerhetsåtgärder för kryptovalutor (virtuell valuta)
För företag som erbjuder tjänster relaterade till kryptovalutor är säkerhetsåtgärder av yttersta vikt.
Till exempel, om systemet drabbas av störningar på grund av cyberattacker från hackare, kan det bli omöjligt att genomföra transaktioner med kryptovalutor, vilket kan ha en stor inverkan på de transaktioner som tjänstens användare utför.
Beroende på tjänstens natur kan det även förekomma att företaget hanterar användarnas kryptovalutor. Om säkerhetsåtgärderna inte är tillräckliga kan användarnas kryptovalutor läcka ut till följd av cyberattacker.
Dessutom, eftersom transaktioner med kryptovalutor sker över internet, innebär det att gränsöverskridande transaktioner blir vanliga. Om kryptovalutor läcker ut över landsgränserna kan det bli nästintill omöjligt att spåra dem.
Därför kan man säga att för företag som erbjuder tjänster relaterade till kryptovalutor är säkerhetsåtgärder av största vikt, både för att garantera tjänstens säkerhet och därmed skydda användarna, och för att undvika ansvar för skadestånd till användarna genom att skydda systemet mot cyberattacker och liknande hot.
Lärdomar om säkerhetsåtgärder från kryptotillgångsläckor
Det har inträffat många incidenter med läckage av kryptotillgångar i det förflutna.
Genom att känna till dessa incidenter med kryptotillgångsläckor kan vi lära oss hur viktiga säkerhetsåtgärder är när det gäller kryptotillgångar. Därför kommer vi här att presentera tre läckageincidenter som har inträffat i Japan.
Coincheck Inc:s kryptotillgångsläcka (januari 2018)
Kryptotillgångsläckan hos Coincheck Inc inträffade den 26 januari 2018.
En översikt av händelsen visar att kryptotillgångar i form av NEM, som tillhörde användare av den av Coincheck Inc drivna kryptovalutabörsen Coincheck, läckte ut till följd av ett hack mot Coinchecks system.
Den totala skadan uppgick till cirka 58 miljarder yen, vilket ledde till att händelsen fick stor uppmärksamhet i media. Inte bara i Japan, utan även internationellt, blev Coincheck Inc:s kryptotillgångsläcka ett omtalat ämne.
Orsaken till Coincheck Inc:s kryptotillgångsläcka tros vara bristfälliga säkerhetsåtgärder hos Coincheck.
Coincheck använde sig av en så kallad “hot wallet”, en plånbok ansluten till internet, och på ungefär 20 minuter läckte cirka 58 miljarder yen i NEM ut.
Som en säkerhetsåtgärd anses vanligtvis en “cold wallet”, en plånbok som inte är ansluten till internet, vara mer säker.
Coincheck Inc kompenserade sina användare, men företaget fick även ta emot administrativa sanktioner såsom rapporteringskrav, order om verksamhetsförbättringar och inspektioner av den Japanska finansinspektionen (Financial Services Agency).
Referens: Japanska finansinspektionen “Administrativa sanktioner mot Coincheck Inc”[ja]
För mer information om olika typer av plånböcker och lagstiftning, se följande artikel.
Relaterad artikel: Vad är en plånbok för NFT-handel och hur ser den japanska lagstiftningen ut?[ja]
Händelsen med kryptovalutaförlust hos Tech Bureau Corporation (september 2018)
Händelsen med kryptovalutaförlust hos Tech Bureau Corporation inträffade den 14 september 2018.
Enligt en översikt av händelsen, skedde en obehörig tillgång från en extern källa till kryptovalutabörsen Zaif, som drevs av Tech Bureau Corporation, vilket resulterade i att kryptovalutor till ett värde av cirka 7 miljarder yen försvann.
Av de cirka 7 miljarder yen var ungefär 4,5 miljarder yen användarnas kryptovalutor.
Liksom i fallet med Coincheck Corporation, hanterades kryptovalutorna hos Tech Bureau Corporation i en så kallad “hot wallet”, vilket är en plånbok ansluten till internet.
Till följd av händelsen med kryptovalutaförlust hos Tech Bureau Corporation, mottog företaget tre separata affärsförbättringsorder från den japanska finansinspektionen (Financial Services Agency).
Referens: Finansinspektionen “Administrativa åtgärder mot Tech Bureau Corporation”[ja]
Tech Bureau Corporation överlät sin kryptovalutahandelsverksamhet “Zaif” i november 2018 och blev därmed den första operatören i branschen att avveckla sin kryptovalutaväxlingsverksamhet.
Händelsen med kryptovalutaförlust hos Bitpoint Japan Inc. (juli 2019)
Händelsen med kryptovalutaförlust hos Bitpoint Japan Inc. inträffade den 11 juli 2019.
En översikt av händelsen visar att kryptovaluta till ett värde av cirka 3,5 miljarder yen försvann från BITPOINT, en kryptovalutabörs som drivs av Bitpoint Japan Inc.
Av de förlorade kryptovalutorna till ett värde av cirka 3,5 miljarder yen, tillhörde ungefär 2 miljarder yen användarna av tjänsten.
Även i detta fall med Bitpoint Japan Inc. var det en hot wallet, en plånbok ansluten till internet, som användes för att förvalta en del av kryptovalutorna.
BITPOINT har kompenserat användarna för den förlorade kryptovalutan till ett värde av ungefär 2 miljarder yen.
Översikt av säkerhetsåtgärder
Som i fallet med tidigare nämnda kryptotillgångsläckor kan en enda incident leda till omfattande skador och konsekvenser. Utöver att ersätta de förlorade kryptotillgångarna finns det även problem relaterade till reputationsrisk.
För att undvika dessa problem är det avgörande att genomföra solida säkerhetsåtgärder.
Enligt “Kabinettsförordningen för kryptotillgångsutbytesoperatörer”[ja] (Japanese Cabinet Office Ordinance on Crypto Asset Exchange Service Providers), stipuleras det i artikel 13 följande:
“`html
Artikel 13: Kryptovalutaväxlingsföretag ska vidta lämpliga åtgärder för att säkerställa en tillräcklig förvaltning av de elektroniska informationssystem som är relaterade till deras kryptovalutaväxlingsverksamhet, i enlighet med innehållet och metoderna för den verksamhet de bedriver.
Dessutom har den japanska finansinspektionen (Financial Services Agency) publicerat “Tredje volymen: Finansbolagsrelaterat”[ja], där specifika punkter fastställs från sida 59 och framåt i avsnittet “16 Kryptovalutaväxlingsföretagsrelaterat”.
“`
“`html
⑸ Cybersäkerhetsstyrning
① Med tanke på att cyberattacker blir allt mer avancerade och sofistikerade, har styrelsen och liknande organ erkänt vikten av cybersäkerhet och etablerat nödvändiga strukturer?
② Har man inrättat en organisationsstruktur för cybersäkerhet, utvecklat interna regler och vidtagit följande åtgärder för att förbättra cybersäkerhetsstyrningen?
・ Övervakningssystem mot cyberattacker
・ Rapporterings- och kommunikationssystem vid cyberattacker
・ Interna CSIRT (Computer Security Incident Response Team) för nödsituationer och tidig varning
・ Informationsinsamling och delning genom informationsdelningsorgan etc.
③ Har man infört en flerstegs cybersäkerhetsstrategi baserad på risk, som kombinerar försvar vid ingång, inuti och utgång?
・ Ingångsförsvar (till exempel installation av brandväggar, införande av antivirusprogram, system för upptäckt och förebyggande av intrång etc.)
・ Interna åtgärder (till exempel korrekt hantering av privilegierade ID:n och lösenord, borttagning av onödiga ID:n, övervakning av specifika kommandon, säkring av produktionssystem (mellan servrar) genom paketfiltrering och kryptering av kommunikation, nätverksseparation mellan utvecklingsmiljöer (inklusive testmiljöer) och produktionssystem, nätverkssegmentering baserad på användningsändamål etc.)
・ Utgångsförsvar (till exempel insamling och analys av kommunikationsloggar och händelseloggar, upptäckt och blockering av olämplig kommunikation etc.)
④ Har man etablerat åtgärder för att snabbt genomföra följande åtgärder för att förhindra spridning av skador vid en cyberattack?
・ Identifiering och blockering av angriparens IP-adress
・ Funktioner som automatiskt distribuerar tillgång vid DDoS-attacker
・ Tillfällig avstängning av hela eller delar av systemet etc.
Har man också förberett procedurer för att bevara loggar och skapa imagekopior för efterföljande utredningar (forensiska undersökningar)?
⑤ Har man klart definierat och organisatoriskt genomfört rutiner för regelbunden insamling, analys och hantering av information om sårbarheter och hot?
Har man också vidtagit nödvändiga åtgärder som att uppdatera operativsystem och tillämpa säkerhetspatchar i tid?
⑥ Använder man sig av tredjeparts (externa organisationers) säkerhetsutvärderingar (sårbarhetsbedömningar, källkodsgranskningar, penetrationstester etc.) för att regelbundet utvärdera säkerhetsnivån och förbättra säkerhetsåtgärderna?
Utför man också lämpliga riskbedömningar när cybersäkerhetsintrång inträffar nationellt eller internationellt?
⑦ När man genomför transaktioner som inte är ansikte mot ansikte med hjälp av internet eller andra kommunikationsmedel, har man infört lämpliga autentiseringsmetoder som motsvarar riskerna med sådana transaktioner?
・ Autentiseringsmetoder som inte enbart förlitar sig på fasta ID:n och lösenord, såsom variabla lösenord och elektroniska certifikat
・ Transaktionsautentisering via flera vägar, till exempel genom att använda en annan enhet än den dator eller smartphone som används för transaktionen
・ Användning av ett separat transaktionslösenord från inloggningslösenordet etc.
⑧ När man genomför transaktioner som inte är ansikte mot ansikte med hjälp av internet eller andra kommunikationsmedel, har man vidtagit lämpliga åtgärder för att förhindra bedrägerier för varje typ av verksamhet?
・ Blockering av kommunikation från bedrägliga IP-adresser
・ Åtgärder för att uppmuntra användare att införa och uppdatera säkerhetsprogramvara som kan upptäcka och eliminera virus etc.
・ System för att snabbt upptäcka och meddela användare om obehöriga inloggningar och ovanliga transaktioner
・ Visning av senaste inloggning (och utloggning) på skärmen etc.
⑨ Har man utarbetat en kontinuitetsplan för cyberattacker och genomför träning och översyn av denna?
Delta man också vid behov i branschöverskridande övningar?
⑩ Har man utarbetat och genomfört en plan för att utveckla och utöka personalresurser relaterade till cybersäkerhet?
Som beskrivet ovan är säkerhetsåtgärder som bör vidtas av kryptovalutaväxlingsföretag specifikt och detaljerat definierade. Därför är det viktigt att noggrant kontrollera lagar och riktlinjer från den japanska finansinspektionen och se till att dessa säkerhetsåtgärder genomförs i enlighet med dessa punkter när det gäller kryptovaluta.
Dessutom är kryptovalutaväxlingsföretag underkastade olika regleringar utöver säkerhetsåtgärder. För mer detaljerad information, vänligen se följande artikel.
Relaterad artikel: Vad är custody-tjänster? Förklaring av regleringar för kryptovalutaväxlingsföretag[ja]
“`
Sammanfattning: Konsultera en advokat angående juridiska frågor i blockkedjespel
I den här artikeln har vi riktat oss till företag som erbjuder tjänster relaterade till kryptovalutor och presenterat säkerhetsåtgärder för kryptovalutor.
För att genomföra tillräckliga säkerhetsåtgärder för kryptovalutor är det också viktigt att bygga en organisation som kan genomföra dessa åtgärder effektivt.
Därför rekommenderar vi att företag som överväger säkerhetsåtgärder för kryptovalutor först konsulterar en advokat som har expertkunskaper inom både IT och juridik, för att skapa en struktur som kan genomföra tillräckliga säkerhetsåtgärder i enlighet med lagar och riktlinjer.
Information om åtgärder från vår byrå
Monolith Advokatbyrå är en juridisk firma som besitter hög expertis inom IT, och särskilt inom internet och juridik. Vår byrå erbjuder omfattande stöd för affärer relaterade till kryptovalutor och blockkedjeteknik. Följande artikel innehåller mer detaljerad information.
Category: IT
