" Доверие стало важным элементом обеспечения безопасности активов современного человека, так как транзакционные отношения в ХХI веке становятся обезличенными, а цифровые платежи в большей степени зависят от невидимой инфраструктуры. Традиционный финансовый сектор изживает себя, осознавая, что люди прекращают следовать за узнаваемыми и известными лицами, а выбирают новые и неизведанные ранее пути для вложения собственных средств.
В конце концов, самая большая угроза, с которой сталкиваются крпуные компании и частные лица, заключается не в том, что их сложную систему могут взломать, а в том, что они сами могут совершить ошибку ‒ либо из-за фишинг-атаки, либо из-за отсутствия хороших методов защиты и шифрования при хранении данных.
История знает много примеров, когда централизованные места хранения средств становились желанными целями для преступников – вспомним громкие ограбления банков в США ХХ века, но с приходом цифрового века изменились и методы кражи: в эпоху, когда у многих людей все активы хранятся на виртуальных счетах, мошенники переквалифицировались в киберпреступников и продолжают свою деятельность уже в сети.
С появлением технологии блокчейна доверие стало обязательной и автоматизированной частью защиты цифровых активов. Системы интеллектуальных контрактов обеспечивают непогрешимость системы даже при неизбежных человеческих ошибках, а цифровые регистры ведут точный учёт всех транзакций, которые нельзя изменить, чтобы ввести пользователей в заблуждение.
Итак, если технология направлена на то, чтобы облегчить тяжёлое бремя безопасности, возложенное на отдельных пользователей, какую роль играют доверенные органы в этой формирующейся финансовой экосистеме?
Масштабы доверия и ответственности
Мировая статистика гласит, что первое десятилетие нашего тысячелетия для цифровых активов стало неопределённым и нерегламентированным: фишинговые и хакерские атаки на кошельки привели к тому, что миллионы долларов были изъяты непосредственно со счётов пользователей, а не компаний. Полицейские отчёты знают случаи, когда киберпреступления переходили в реальный мир, и для получения доступа к холодным кошелькам преступники обращались к настоящему физическому насилию.
Ответственность за такие действия была сосредоточена на компаниях, предлагающих централизованные услуги, такие как хранение средств на горячем кошельке, так как они обеспечивали взаимодействие пользователей с децентрализованными активами.
Но ситуация до сих остаётся не прояснённой, поскольку юридическая ответственность ‒ это ничто без последствий. Игроки в пространстве цифровых активов должны нести ответственность за то, как они управляют своими услугами, даже если они просто являются платформами-посредниками между пользователем и криптоэкосистемой.
Методы киберпреступлений очень сложны и коренным образом разнятся, но и у них можно проследить общность: большинство нарушений можно было бы предотвратить ‒ или, по крайней мере, уменьшить их частотность ‒ с помощью передовой практики, на которую банковские учреждения, телекоммуникации и правительства уже полагались на протяжении десятилетий: аппаратных модулей безопасности (HSM).
Эти устройства широко используются в банковской сфере и во всех отраслях, где необходимо защитить клиентские данные. HSM ‒ это физические вычислительные устройства, которые защищают и управляют криптографическими ключами и обеспечивают безопасное существование программного кода. Они обладают встроенной технологией защиты от взлома, которая стирает секреты в случае физического взлома. Они также построены вокруг безопасных чипов криптопроцессора и имеют активные меры физической безопасности, например, особые "сетки", для замедления атак по побочным каналам.
Хотя конкретные розничные инвесторы могут защищать цифровые активы с помощью отдельных аппаратных кошельков, этим продуктам не хватает основных функций, необходимых в корпоративной среде. Например, Ledger Vault защищает институциональных инвесторов от операционных рисков, связанных с торговлей цифровыми активами, поэтому управляющие этими активами и их хранители могут удобно торговать этим новым классом активов без ущерба для безопасности.
Учиться у прошлого и использовать инновации настоящего
Децентрализованная технология предоставляет пользователям беспрецедентные свободы при заключении сделок, но также требует, чтобы они знали азы кибербезопасности и принципы хранения активов. В цифровом мире однозначно существуют проблемы обеспечения безопасности: от неправильного алгоритма размещения закрытых ключей до опасностей взлома обменных процессов, истощающих горячие кошельки.
Во многих случаях и пользователи, и крупные представители отрасли могут извлечь выгоду из горького опыта, полученного бывалыми финансовыми игроками, которые десятилетиями сталкивались со многими подобными проблемами.
В двусторонних платежах, например, при международных банковских переводах, доверие между крупными банками и сложность процесса отправки денег за пределы банковской системы позволяют клиенту легко вернуть свои деньги, отправленные ошибочно или после попытки взлома, обратно.
В мире цифровых активов у криптопользователя нет такой роскоши. Ошибка или умышленное действие злоумышленника чаще всего приводят к безвозвратной потере средств. Крайне важно, чтобы компании, предоставляющие услуги хранения цифровых активов, выходили за рамки существующих парадигм безопасности, используя как программное, так и аппаратное обеспечение для защиты своих транзакций и средств.
Например, Secure Elements (SE) ‒ это усиленные микроконтроллеры с компактным интерфейсом, сводящим вероятность атаки к минимуму. Целостность этих систем имеет решающее значение, и для обеспечения защиты от несанкционированного доступа к системе необходимо применять специальные инженерные решения. SE включает в себя надежную физическую защиту для предотвращения сложных аппаратных атак.
Обычный микроконтроллер можно сравнить с набором лего-кирпичей: задуманное можно легко и быстро построить, но схем, по которым можно собрать новую фигуру очень мало – структура становится предсказуемой, если попытаться её перепроектировать. Защитные элементы нового поколения, напротив, намного сложнее в своей конструкции с зашифрованной памятью и физическим усилением, предотвращающим несанкционированное извлечение информации.
Другими словами, SE для микроконтроллера то же, что бак для автомобиля.
Неустанный поиск решений для безопасного хранения данных позволит финансовым учреждениям и профессиональным инвесторам полностью раскрыть потенциал цифровых активов и обеспечит их акционеров необходимой уверенностью в защищённости своих средств, вложенных в крипто-отрасль
Доверие должно идти рука об руку с новыми технологиями
Чтобы наша финансовая инфраструктура была единой, а держатели активов могли ей доверять, необходимо тщательно продумать, как это сделать, не теряя при этом преимуществ децентрализации.
Стоит также помнить, что децентрализация не является абсолютной или частичной, а существует в том или ином амплуа. Компаниям и частным лицам, работающим с внешними компаниями или поставщиками услуг, предоставляются главные преимущества децентрализованной системы: пользователи начинают доверять своим собственным активам и чувствовать уверенность в защищённости от взлома.
Кастодиальные компании предлагают благодатную почву для взаимодействия, поскольку они являются регулируемыми организациями, занимающимся обслуживанием депозитарной части транзакции, и поэтому их клиенты могут быть уверены, что их активы в безопасности.
Возможность выбора хранителя также означает, что пользователи могут выбирать, кому доверены все их средства. Обеспечение безопасности имеет первостепенное значение, и хотя каждый банк может утверждать, что он неприступен и предоставляет защищённое пространство для хранения средств, использование децентрализованных систем даёт гарантированную защиту от вмешательства независимой третьей стороны.
Например, схема сертификации CSPN является отраслевым стандартом, созданным в 2008 году для определения степени защиты предприятия и финансовых учреждений путем оценки брандмауэров, идентификации, аутентификации и доступа, защищенных коммуникаций и встроенного программного обеспечения. Цифровые активы обязательно должны соответствовать этим же мерам, чтобы инновационные решения в области криптобезопасности могли внедряться с лёгкостью.
Децентрализованные финансы ‒ это не акт недоверия к конкретной компании, а эволюция ответственности
Только с полностью сформированной криптоэкосистемой законодатели могут установить границы институциональной ответственности. Регулирование должно поддерживать технологии и стимулировать создание безопасных систем, в то же время наказывая не подотчётные организации.
Компаниям теперь мало просто брать на себя ответственность. Тот факт, что организация может предлагать какие-то финансовые услуги, вовсе не означает, что они могут делать это лучше всех. Пространство цифровых активов может получить более высокий уровень бай-инов от внешних спекулянтов, если оно децентрализует риск и поддержит расширение ряда предоставляемых услуг и увеличения числа их поставщиков.
Написано с использованием материалов Vincent Chok и Glenn Woo.
