Блокчейн для бизнеса: вопросы безопасности
На сегодняшний день блокчейн – модная технология. Бурный рост популярности криптовалют, а также поддерживающей их архитектуры привел к появлению концепции «блокчейн-где-угодно», которая не только не всегда оправдывает себя, но и может создать дополнительные проблемы в сфере безопасности. Нужен ли вам блокчейн и в каком качестве – можете ответить только вы сами. Какие вызовы создает использование блокчейна и как можно решить проблемы, возникающие перед выбравшими технологию компаниями?
Если говорить о сферах очевидного применения блокчейна, то наибольший интерес к технологии наблюдается в областях государственного управления, финансов и производства. Согласно результатам исследования компании Greenwich Associates, инвестиции в новое направление продолжают расти, и один только финансовый сектор в 2016 году вложил в исследования технологии свыше 1 млрд евро. Кстати, именно в 2016-м аналитики Gartner включили блокчейн в число самых популярных технологий, отметив, что согласно кривой Hype Cycle (цикл зрелости технологии) в настоящее время блокчейн находится на пике – то есть преодолел ранние этапы и приближается к своей зрелости. Более того, серьезным аргументом в пользу блокчейна становится тот факт, что Bitcoin так никому и не удалось взломать, другими словами, технология достаточно надежна. Однако это не значит, что уже сегодня можно взять и использовать блокчейн повсюду. И для этого есть шесть веских причин.
1. Излишняя прозрачность
Криптовалюты стали столь популярны именно потому, что блокчейн позволяет обеспечить прозрачность транзакций для всех пользователей. То есть за совершением сделок в сети фактически постоянно следит все сообщество, и каждый желающий может прочитать содержимое очередного блока. Такая схема прекрасно подходит для публикации государственных документов, но совершенно не соответствует многим бизнес-задачам. Какой из этого следует выход? Теоретически можно начать шифровать данные в блоках, но тогда теряются преимущества контроля участников сети над транзакциями. Поэтому многие компании начинают создавать приватный блокчейн, не завязанный на общественные сети. Но и он не лишен недостатков.
2. Атаки 51%
В приватном блокчейне возникает проблема, практически решенная для крупных публичных сетей. Механизм проверки транзакций в блокчейне не позволяет зарегистрировать новое событие, если оно не будет подтверждено большей частью сети. И если речь идет о миллионах пользователей, захватить более 50% компьютеров даже для кражи внушительной суммы будет очень сложно и затратно, а быть может, – и вовсе нереально. Но для частных блокчейнов, в которых участвует не так много узлов, атаки со взломом 51% машин становятся реальными. Поэтому при проектировании системы необходимо учитывать такую угрозу и предусматривать соответствующие меры безопасности.
3. Проблема сохранности ключей
Наконец, ключи от кошельков в блокчейне являются фактически цифровыми удостоверениями личности, при этом чаще всего – единственными. То есть у компании, использующей технологию, возникает потребность организовать хранение собственных ключей и ключей клиентов. Для этого нужно либо запускать отдельный облачный сервис, либо создавать аппаратные модули, либо доверять пользователям хранение своих собственных ключей. Но что делать, если кто-то потеряет свой ключ? В таком случае доступ к своему кошельку будет утрачен, ведь с новой криптотехнологией нельзя прийти, как в отделение банка, с паспортом и получить реквизиты заново.
4. Отсутствие стандартов
Многие компании не спешат внедрять блокчейн из-за отсутствия регулирования и четких стандартов в данной сфере. И это действительно может оказаться проблемой, особенно если компания работает в разных странах – в одной могут принимать блокчейн, как технологическую основу, а в другой – напротив, потребовать получения дополнительных разрешений. К тому же отсутствие законодательной базы для технологии говорит о том, что в какой-то момент она может появиться и бизнесу придется переделывать систему в зависимости от требований, добиваться новых разрешений и т. д. Ведь никто не гарантирует, что созданная сегодня система будет соответствовать требованиям, которые появятся завтра.
5. Потребность в «криптоюристах»
Еще одна очень важная проблема – соответствие смарт-контрактов реальным договоренностям. Смарт-контракт является результатом программирования, и в бизнес-практике уже были случаи, когда ошибки в смарт-контрактах позволяли взламывать приватные блокчейны и устраивать DDoS-атаки. А что если в смарт-контракте намеренно сделаны лазейки или двояко прописаны условия каких-то сделок? Для того чтобы застраховаться как от случайных недочетов, так и от злонамеренных действий, необходимо проверять код смарт-контракта перед его запуском, ведь изменения в блокчейн внести будет уже невозможно. Текст бумажных контрактов готовится и проверяется юристами, а «криптоюристов», которые могли бы удостовериться, что код смарт-контракта соответствует условиям сделки, на рынке пока не наблюдается.
6. Соответствие требованиям законов
Наконец, блокчейн создает определенные проблемы, если мы говорим о текущей нормативной базе. Например, европейский набор нормативных актов по защите персональных данных GDPR диктует в том числе право на забвение – удаление всей информации о пользователе. Кстати, аналогичный закон действует сегодня и в России. Но удалить данные из блокчейна невозможно. Они фиксируются там «навечно» — пока не будут отключены узлы сети. Если говорить конкретно о праве на забвение, скорее всего, оно не будет распространяться на блокчейн, так как проблема невозможности удаления данных очевидна. В любых других случаях остается лишь перед записью в блокчейн анализировать информацию и сохранять ее в том формате, в котором она не будет нарушать существующих законов.
Выход – классический подход к ИБ
И тем не менее блокчейн вызывает огромный интерес со стороны компаний, для которых использование распределенного реестра может обеспечить финансовые выгоды, конкурентные преимущества. С точки зрения безопасности к блокчейну можно и нужно применять классические подходы, такие как CIA (Confidentiality-Integrity-Accessibility), предлагающие оценивать параметры конфиденциальности, целостности и доступности, а также гексаду Паркера, которая дополняет эти три правила параметрами контроля, аутентичности и полезности. И блокчейн, равно как и все другие технологии, необходимо оценивать с точки зрения комплексной безопасности, учитывая риски по всем шести направлениям. Например, чтобы публичный блокчейн не создавал угрозы конфиденциальности, доступ к нему можно ограничить на уровне приложений. Чтобы не потерять полезность данных, нужно следить за инфраструктурой ключей и не допускать их утраты. Для обеспечения контроля над процессами следует уделять пристальное внимание разработке смарт-контрактов и так далее.
Самое важное, что нужно иметь в виду на пике популярности криптотехнологий, – блокчейн не может быть на 100% безопасен сам по себе, как и любая другая система «из коробки». В недавнем прошлом мы видели аналогичную картину с виртуализацией и облачными сервисами, над защитой которых пришлось изрядно поработать на протяжении нескольких лет. Так и сегодня желающим получить преимущества от новых криптотехнологий нужно будет потрудиться, создавая для них модель угроз и обеспечивая соответствующую защиту. Интересно, что при изучении рисков нового подхода порой компании приходят к выводу, что в определенных сферах им вовсе не нужен блокчейн. И это вполне типично для технологий, находящихся на пике Hype Cycle. Поэтому сегодня нужно не стремиться внедрить эту технологию как таковую, а реально оценить преимущества и недостатки использования новых решений, не забывая о том, что безопасность блокчейна зависит от несколько иных факторов, чем безопасность облачных сред или распределенных хранилищ данных.
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.
Опубликовано 20.08.2018