IT ManagerБезопасностьУправление ИБ

Блокчейн для бизнеса: вопросы безопасности

Алексей Раевский | 20.08.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Блокчейн для бизнеса: вопросы безопасности

На сегодняшний день блокчейн – модная технология. Бурный рост популярности криптовалют, а также поддерживающей их архитектуры привел к появлению концепции «блокчейн-где-угодно», которая не только не всегда оправдывает себя, но и может создать дополнительные проблемы в сфере безопасности. Нужен ли вам блокчейн и в каком качестве – можете ответить только вы сами. Какие вызовы создает использование блокчейна и как можно решить проблемы, возникающие перед выбравшими технологию компаниями?

Если говорить о сферах очевидного применения блокчейна, то наибольший интерес к технологии наблюдается в областях государственного управления, финансов и производства. Согласно результатам исследования компании Greenwich Associates, инвестиции в новое направление продолжают расти, и один только финансовый сектор в 2016 году вложил в исследования технологии свыше 1 млрд евро. Кстати, именно в 2016-м аналитики Gartner включили блокчейн в число самых популярных технологий, отметив, что согласно кривой Hype Cycle (цикл зрелости технологии) в настоящее время блокчейн находится на пике – то есть преодолел ранние этапы и приближается к своей зрелости. Более того, серьезным аргументом в пользу блокчейна становится тот факт, что Bitcoin так никому и не удалось взломать, другими словами, технология достаточно надежна. Однако это не значит, что уже сегодня можно взять и использовать блокчейн повсюду. И для этого есть шесть веских причин.

1. Излишняя прозрачность

Криптовалюты стали столь популярны именно потому, что блокчейн позволяет обеспечить прозрачность транзакций для всех пользователей. То есть за совершением сделок в сети фактически постоянно следит все сообщество, и каждый желающий может прочитать содержимое очередного блока. Такая схема прекрасно подходит для публикации государственных документов, но совершенно не соответствует многим бизнес-задачам. Какой из этого следует выход? Теоретически можно начать шифровать данные в блоках, но тогда теряются преимущества контроля участников сети над транзакциями. Поэтому многие компании начинают создавать приватный блокчейн, не завязанный на общественные сети. Но и он не лишен недостатков.

2. Атаки 51%

В приватном блокчейне возникает проблема, практически решенная для крупных публичных сетей. Механизм проверки транзакций в блокчейне не позволяет зарегистрировать новое событие, если оно не будет подтверждено большей частью сети. И если речь идет о миллионах пользователей, захватить более 50% компьютеров даже для кражи внушительной суммы будет очень сложно и затратно, а быть может, – и вовсе нереально. Но для частных блокчейнов, в которых участвует не так много узлов, атаки со взломом 51% машин становятся реальными. Поэтому при проектировании системы необходимо учитывать такую угрозу и предусматривать соответствующие меры безопасности.

3. Проблема сохранности ключей

Наконец, ключи от кошельков в блокчейне являются фактически цифровыми удостоверениями личности, при этом чаще всего – единственными. То есть у компании, использующей технологию, возникает потребность организовать хранение собственных ключей и ключей клиентов. Для этого нужно либо запускать отдельный облачный сервис, либо создавать аппаратные модули, либо доверять пользователям хранение своих собственных ключей. Но что делать, если кто-то потеряет свой ключ? В таком случае доступ к своему кошельку будет утрачен, ведь с новой криптотехнологией нельзя прийти, как в отделение банка, с паспортом и получить реквизиты заново.

4. Отсутствие стандартов

Многие компании не спешат внедрять блокчейн из-за отсутствия регулирования и четких стандартов в данной сфере. И это действительно может оказаться проблемой, особенно если компания работает в разных странах – в одной могут принимать блокчейн, как технологическую основу, а в другой – напротив, потребовать получения дополнительных разрешений. К тому же отсутствие законодательной базы для технологии говорит о том, что в какой-то момент она может появиться и бизнесу придется переделывать систему в зависимости от требований, добиваться новых разрешений и т. д. Ведь никто не гарантирует, что созданная сегодня система будет соответствовать требованиям, которые появятся завтра.

5. Потребность в «криптоюристах»

Еще одна очень важная проблема – соответствие смарт-контрактов реальным договоренностям. Смарт-контракт является результатом программирования, и в бизнес-практике уже были случаи, когда ошибки в смарт-контрактах позволяли взламывать приватные блокчейны и устраивать DDoS-атаки. А что если в смарт-контракте намеренно сделаны лазейки или двояко прописаны условия каких-то сделок? Для того чтобы застраховаться как от случайных недочетов, так и от злонамеренных действий, необходимо проверять код смарт-контракта перед его запуском, ведь изменения в блокчейн внести будет уже невозможно. Текст бумажных контрактов готовится и проверяется юристами, а «криптоюристов», которые могли бы удостовериться, что код смарт-контракта соответствует условиям сделки, на рынке пока не наблюдается.

6. Соответствие требованиям законов

Наконец, блокчейн создает определенные проблемы, если мы говорим о текущей нормативной базе. Например, европейский набор нормативных актов по защите персональных данных GDPR диктует в том числе право на забвение – удаление всей информации о пользователе. Кстати, аналогичный закон действует сегодня и в России. Но удалить данные из блокчейна невозможно. Они фиксируются там «навечно» — пока не будут отключены узлы сети. Если говорить конкретно о праве на забвение, скорее всего, оно не будет распространяться на блокчейн, так как проблема невозможности удаления данных очевидна. В любых других случаях остается лишь перед записью в блокчейн анализировать информацию и сохранять ее в том формате, в котором она не будет нарушать существующих законов.

Выход – классический подход к ИБ

И тем не менее блокчейн вызывает огромный интерес со стороны компаний, для которых использование распределенного реестра может обеспечить финансовые выгоды, конкурентные преимущества. С точки зрения безопасности к блокчейну можно и нужно применять классические подходы, такие как CIA (Confidentiality-Integrity-Accessibility), предлагающие оценивать параметры конфиденциальности, целостности и доступности, а также гексаду Паркера, которая дополняет эти три правила параметрами контроля, аутентичности и полезности. И блокчейн, равно как и все другие технологии, необходимо оценивать с точки зрения комплексной безопасности, учитывая риски по всем шести направлениям. Например, чтобы публичный блокчейн не создавал угрозы конфиденциальности, доступ к нему можно ограничить на уровне приложений. Чтобы не потерять полезность данных, нужно следить за инфраструктурой ключей и не допускать их утраты. Для обеспечения контроля над процессами следует уделять пристальное внимание разработке смарт-контрактов и так далее.

Самое важное, что нужно иметь в виду на пике популярности криптотехнологий, – блокчейн не может быть на 100% безопасен сам по себе, как и любая другая система «из коробки». В недавнем прошлом мы видели аналогичную картину с виртуализацией и облачными сервисами, над защитой которых пришлось изрядно поработать на протяжении нескольких лет. Так и сегодня желающим получить преимущества от новых криптотехнологий нужно будет потрудиться, создавая для них модель угроз и обеспечивая соответствующую защиту. Интересно, что при изучении рисков нового подхода порой компании приходят к выводу, что в определенных сферах им вовсе не нужен блокчейн. И это вполне типично для технологий, находящихся на пике Hype Cycle. Поэтому сегодня нужно не стремиться внедрить эту технологию как таковую, а реально оценить преимущества и недостатки использования новых решений, не забывая о том, что безопасность блокчейна зависит от несколько иных факторов, чем безопасность облачных сред или распределенных хранилищ данных.

Ключевые слова: блокчейн, безопасность

Горячие темы: Угрозы и риски ИБ

Журнал IT-Manager № 08/2018    [ PDF ]    [ Подписка на журнал ]

Компания: Zecurion

Об авторах

Алексей Раевский

Алексей Раевский

Генеральный директор Zecurion


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Загрузка...

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

16.05.2019 — 25.06.2019
Growth Marketing Summit

онлайн

21.05.2019
Digital Construction Forum 2019

Центр цифрового лидерства SAP Космодамианская наб., 52к7,

24.05.2019
Google Cloud Day

Москва, ул.Балчуг. д. 7, БЦ Балчуг Плаза

27.05.2019
Conference for best brands

Москва, Центр "Открытый мир"

28.05.2019
Smart City 2019: госпроекты и их реализация

Москва, Веранда ЦМТ, Краснопресненская наб., 12