Які заходи безпеки існують для криптовалют (віртуальних валют)? Роз'яснення на прикладі трьох випадків витоку інформації
Для безпечного здійснення операцій з криптовалютами (віртуальними валютами) надзвичайно важливо забезпечити адекватні заходи безпеки. З точки зору користувачів послуг, використання сервісів, пов’язаних з криптовалютами, які не мають достатнього рівня безпеки, може бути страшним і неприйнятним.
Тому в цій статті ми представимо заходи безпеки, пов’язані з криптовалютами, спрямовані на підприємців, які надають послуги у цій сфері.
Важливість заходів безпеки для криптовалют (віртуальних валют)
Для підприємств, що надають послуги пов’язані з криптовалютами, заходи безпеки є надзвичайно важливими.
Наприклад, у разі виникнення збоїв у системі через кібератаки хакерів, може статися так, що операції з криптовалютами стануть неможливими, що може суттєво вплинути на транзакції з криптовалютами, які здійснюють користувачі послуг.
Крім того, залежно від характеру послуг, пов’язаних з криптовалютами, може виникнути ситуація, коли підприємство управляє криптовалютами користувачів. Якщо заходи безпеки не будуть достатніми, існує ризик, що криптовалюта користувачів може бути викрадена через кібератаки.
Додатково, оскільки транзакції з криптовалютами відбуваються через Інтернет, вони можуть перетинати кордони. Якщо криптовалюта витікає за кордон, відстеження може стати надзвичайно складним.
Тому, для підприємств, що надають послуги пов’язані з криптовалютами, важливо забезпечити безпеку сервісу, щоб захистити користувачів, а також уникнути обов’язку відшкодування збитків користувачам у випадку кібератак та інших інцидентів. Таким чином, заходи безпеки для криптовалют є надзвичайно важливими.
Важливість заходів безпеки, вивчених з випадків витоку криптовалют
У минулому сталося багато випадків витоку криптовалют.
Знання про випадки витоку криптовалют дозволяє зрозуміти, наскільки важливими є заходи безпеки, пов’язані з криптовалютами. Тому нижче ми представимо три випадки витоку, що сталися в Японії.
Справа про витік криптовалютних активів компанії Coincheck Inc. (січень 2018 року)
Справа про витік криптовалютних активів компанії Coincheck Inc. сталася 26 січня 2018 року.
Загальний опис справи полягає в тому, що на криптовалютній біржі Coincheck, яку оперує компанія Coincheck Inc., стався витік криптовалюти NEM, яка була під управлінням сервісу, внаслідок хакерської атаки на систему Coincheck.
Загальна сума збитків оцінюється приблизно в 58 мільярдів ієн, і через велику суму збитків ця подія отримала широке висвітлення в пресі. Ця справа про витік криптовалютних активів компанії Coincheck Inc. привернула увагу не тільки в Японії, але й за її межами.
Причиною цієї справи вважають недостатні заходи безпеки на біржі Coincheck.
Coincheck використовувала так званий гарячий гаманець, який був підключений до Інтернету, і за приблизно 20 хвилин було втрачено NEM на суму близько 58 мільярдів ієн.
Заходи безпеки, як правило, включають використання так званого холодного гаманця, який не підключений до Інтернету і вважається більш надійним.
Компанія Coincheck Inc. провела компенсацію користувачам, але також зіткнулася з адміністративними санкціями, включаючи збір звітів, накази про поліпшення діяльності та перевірки від Агентства фінансових послуг Японії (Japanese Financial Services Agency).
Джерело: Агентство фінансових послуг «Про адміністративні санкції щодо компанії Coincheck Inc.»[ja]
Детальніше про типи гаманців та правове регулювання можна дізнатися з наступної статті.
Супутня стаття: Що таке гаманець для торгівлі NFT? Роз’яснення правового регулювання в Японії[ja]
Випадок витоку криптовалют у компанії Tech Bureau Corp. (вересень 2018 року)
Випадок витоку криптовалют у компанії Tech Bureau Corp. стався 14 вересня 2018 року.
Загальний опис події полягає в тому, що в результаті несанкціонованого зовнішнього доступу до криптовалютної біржі Zaif, яку керувала компанія Tech Bureau Corp., було викрадено криптовалюту на суму приблизно 7 мільярдів ієн.
З цих приблизно 7 мільярдів ієн, близько 4,5 мільярдів ієн належали користувачам сервісу.
Як і у випадку з витоком криптовалют у компанії Coincheck Corp., у Tech Bureau Corp. криптовалюти були збережені у так званих гарячих гаманцях, які підключені до Інтернету.
Через випадок витоку криптовалют у Tech Bureau Corp., компанія отримала три вимоги від Агентства фінансових послуг Японії про внесення змін до своєї діяльності.
Довідка: Агентство фінансових послуг Японії “Про адміністративні санкції щодо компанії Tech Bureau Corp.”[ja]
У листопаді 2018 року компанія Tech Bureau Corp. передала свій криптовалютний бізнес “Zaif” іншій компанії, ставши першою криптовалютною біржею в Японії, яка припинила свою діяльність у цій сфері.
Справа про витік криптовалюти в компанії “Бітпойнт Японія” (липень 2019 року)
Справа про витік криптовалюти в компанії “Бітпойнт Японія” сталася 11 липня 2019 року.
Загальний опис справи полягає в тому, що з криптовалютної біржі BITPOINT, яку оперує компанія “Бітпойнт Японія”, було викрадено криптовалюти приблизно на 3,5 мільярда японських єн.
З викрадених криптовалют на суму приблизно 3,5 мільярда єн, близько 2 мільярдів єн належали користувачам сервісу.
У справі про витік криптовалюти компанії “Бітпойнт Японія”, як і в згаданих вище випадках витоку криптовалюти, частина активів була збережена у так званих гарячих гаманцях, які підключені до Інтернету.
BITPOINT компенсувала користувачам втрачені криптовалюти на суму близько 2 мільярдів єн.
Огляд заходів безпеки
Як було зазначено у випадках витоку криптовалют, один раз стався витік криптовалют, це може призвести до значних збитків та наслідків. Крім того, існує проблема репутаційних ризиків, не лише питання компенсації втрачених криптовалют.
Для уникнення цих проблем важливо здійснювати ефективні заходи безпеки.
Згідно з Японським «Кабінетським наказом щодо операторів обміну криптовалютами»[ja], у статті 13 визначено наступне:
Стаття 13. Оператори обміну криптоактивами мають вживати належних заходів для адекватного управління електронною інформаційно-обробною організацією, пов’язаною з діяльністю обміну криптоактивами, відповідно до змісту та методів їхньої діяльності.
Крім того, Японське Агентство Фінансових Послуг опублікувало “Том третій: Справи фінансових компаній[ja]“, де на сторінці 59 та далі у розділі “16. Справи операторів обміну криптоактивами” визначено конкретні пункти.
⑸ Кібербезпека
① Чи враховує правління та інші керівні органи, що кібератаки стають більш складними та хитромудрими, та чи визнають вони важливість кібербезпеки та чи створили необхідну інфраструктуру для цього?
② Чи створено організаційну структуру для кібербезпеки, розроблено внутрішні правила, а також такі заходи управління кібербезпекою, як:
・ Система моніторингу кібератак
・ Система звітування та зв’язків з громадськістю у випадку кібератак
・ Структура для надзвичайної реакції та раннього попередження в організації, така як CSIRT (Команда реагування на інциденти комп’ютерної безпеки)
・ Система збору та обміну інформацією через інформаційні агентства тощо
③ Чи впроваджено багаторівневу оборону кібербезпеки, що поєднує заходи на вході, всередині та на виході, засновані на ризиках, для підготовки до кібератак?
・ Заходи на вході (наприклад, встановлення брандмауерів, впровадження антивірусного програмного забезпечення, системи виявлення та запобігання несанкціонованому доступу тощо)
・ Внутрішні заходи (наприклад, належне управління привілейованими ID та паролями, видалення непотрібних ID, моніторинг виконання певних команд, забезпечення безпеки основних систем (між серверами), таких як пакетні фільтри або шифрування комунікацій, відокремлення мережі розробки (включаючи тестове середовище) від основного середовища системи, сегментація мережі відповідно до цілей використання тощо)
・ Заходи на виході (наприклад, збір та аналіз комунікаційних та подійних логів, виявлення та блокування неналежної комунікації тощо)
④ Чи створено структуру для швидкого впровадження таких заходів, щоб запобігти поширенню шкоди у випадку кібератаки, як:
・ Визначення та блокування IP-адреси джерела атаки
・ Функція, що автоматично розподіляє доступ у випадку DDoS-атак
・ Тимчасове призупинення системи частково або повністю тощо
Також, чи створено процедури для збереження логів та отримання копій образів для постфактум розслідування (форензічного аналізу) з метою визначення обсягу впливу та виявлення причин.
⑤ Чи чітко визначено та систематично впроваджено процедури для регулярного збору, аналізу та реагування на інформацію про вразливості та загрози.
Також, чи вживаються своєчасні заходи, такі як оновлення ОС та застосування патчів безпеки, для вирішення вразливостей системи.
⑥ Чи проводиться регулярна оцінка рівня безпеки, використовуючи зовнішні (треті сторони) діагностики безпеки (діагностика вразливостей, аналіз вихідного коду, пенетраційне тестування тощо), для підвищення заходів безпеки.
Також, чи проводиться належна оцінка ризиків у випадку виникнення інцидентів порушення кібербезпеки в країні чи за кордоном.
⑦ При проведенні транзакцій на відстані за допомогою Інтернету чи інших засобів зв’язку, чи впроваджено відповідні методи аутентифікації, які відповідають ризикам транзакцій, наприклад:
・ Методи аутентифікації, що не залежать виключно від статичних ID та паролів, такі як змінні паролі або електронні сертифікати
・ Використання окремих пристроїв, відмінних від комп’ютерів чи смартфонів, що використовуються для транзакцій, для багатошляхової аутентифікації
・ Використання окремих паролів для транзакцій, відмінних від паролів для входу тощо
⑧ При проведенні транзакцій на відстані за допомогою Інтернету чи інших засобів зв’язку, чи впроваджено заходи запобігання шахрайству, відповідні до характеру діяльності, наприклад:
・ Блокування комунікацій з підозрілих IP-адрес
・ Заходи, що спонукають користувачів до встановлення та оновлення програмного забезпечення для захисту від вірусів та їх видалення
・ Створення системи, що швидко повідомляє користувачів про підозрілі входи в систему та незвичайні транзакції
・ Відображення часу останнього входу (виходу) на екрані тощо
⑨ Чи розроблено план дій на випадок кібератак, проводяться тренування та перегляди, а також чи берете участь у міжгалузевих навчаннях за потреби.
⑩ Чи розроблено та впроваджено план розвитку та розширення кадрів у сфері кібербезпеки.
Як зазначено вище, для операторів обміну криптовалютами чітко визначено конкретні та детальні заходи безпеки, які вони повинні вжити. Тому, у сфері криптовалют, важливо ретельно перевіряти законодавство та вказівки Фінансового Агентства Японії, а також переконатися, що заходи безпеки відповідають цим вимогам.
Окрім заходів безпеки, на операторів обміну криптовалютами також накладаються різноманітні регуляції. Детальніше про це читайте у наступній статті.
Пов’язана стаття: Що таке кастодійські послуги? Роз’яснення регулювання операторів обміну криптовалютами[ja]
Підсумок: Консультуйтеся з адвокатом щодо правових проблем ігор на блокчейні
У цій статті ми представили інформацію для підприємців, які надають послуги, пов’язані з криптовалютами, зокрема ввели в курс справи щодо заходів безпеки криптовалют.
Для забезпечення належних заходів безпеки криптовалют важливо також створити організацію, здатну реалізувати ці заходи.
Тому ми рекомендуємо підприємцям, які розглядають можливість впровадження заходів безпеки криптовалют, спочатку звернутися до адвоката, який має професійні знання в галузях ІТ та права, щоб створити систему, яка дозволить вам впроваджувати належні заходи безпеки відповідно до законодавства та рекомендацій.
Інформація про заходи, що їх пропонує наша юридична фірма
Юридична фірма “Моноліт” спеціалізується на IT, зокрема на інтернет-праві, і має високу експертизу в обох цих сферах. Наша фірма надає всебічну підтримку бізнесу, пов’язаному з криптовалютами та блокчейном. Детальну інформацію ви знайдете в статті нижче.
Category: IT
