IT Manager: Блокчейн для бізнесу: питання безпеки

IT Manager Безпека управління ІБ Олексій Раєвський

| 20.08.2018

На сьогоднішній день блокчейн - модна технологія. Бурхливе зростання популярності криптовалюта, а також підтримує їх архітектури привів до появи концепції «блокчейн-де-завгодно», яка не тільки не завжди виправдовує себе, але і може створити додаткові проблеми в сфері безпеки. Чи потрібен вам блокчейн і в якій якості - можете відповісти тільки ви самі. Які виклики створює використання блокчейна і як можна вирішити проблеми, що виникають перед які обрали технологію компаніями?

Якщо говорити про сфери очевидного застосування блокчейна, то найбільший інтерес до технології спостерігається в областях державного управління, фінансів і виробництва. Згідно з результатами дослідження компанії Greenwich Associates, інвестиції в новий напрямок продовжують рости, і один тільки фінансовий сектор в 2016 році вклав в дослідження технології понад 1 млрд євро. До речі, саме в 2016-му аналітики Gartner включили блокчейн в число найпопулярніших технологій, зазначивши, що згідно кривої Hype Cycle (цикл зрілості технології) в даний час блокчейн знаходиться на піку - тобто подолав ранні етапи і наближається до своєї зрілості. Більш того, серйозним аргументом на користь блокчейна стає той факт, що Bitcoin так нікому і не вдалося зламати, іншими словами, технологія досить надійна. Однак це не означає, що вже сьогодні можна взяти і використовувати блокчейн всюди. І для цього є шість вагомих причин.

1. Зайва прозорість

Криптовалюта стали настільки популярні саме тому, що блокчейн дозволяє забезпечити прозорість транзакцій для всіх користувачів. Тобто за здійсненням операцій в мережі практично завжди стежить вся спільнота, і кожен бажаючий може прочитати вміст чергового блоку. Така схема прекрасно підходить для публікації державних документів, але абсолютно не відповідає багатьом бізнес-завдань. Який з цього випливає вихід? Теоретично можна почати шифрувати дані в блоках, але тоді втрачаються переваги контролю учасників мережі над транзакціями. Тому багато компаній починають створювати приватний блокчейн, що не зав'язаний на соціальні мережі. Але і він не позбавлений недоліків.

2. Атаки 51%

У приватному блокчейне виникає проблема, практично вирішена для великих публічних мереж. Механізм перевірки транзакцій в блокчейне не дозволяє зареєструвати нову подію, якщо воно не буде підтверджено здебільшого мережі. І якщо мова йде про мільйони користувачів, захопити більше 50% комп'ютерів навіть для крадіжки значної суми буде дуже складно і витратно, а можливо, - і зовсім нереально. Але для приватних блокчейнов, в яких бере участь не так багато вузлів, атаки зі зломом 51% машин стають реальними. Тому при проектуванні системи необхідно враховувати таку загрозу і передбачати відповідні заходи безпеки.

3. Проблема збереження ключів

Нарешті, ключі від гаманців в блокчейне є фактично цифровими посвідченнями особи, при цьому найчастіше - єдиними. Тобто у компанії, що використовує технологію, виникає потреба організувати зберігання власних ключів та ключів клієнтів. Для цього потрібно або запускати окремий хмарний сервіс, або створювати апаратні модулі, або довіряти користувачам зберігання своїх власних ключів. Але що робити, якщо хтось втратить свій ключ? У такому випадку доступ до свого гаманця буде втрачено, адже з новою кріптотехнологіей не можна прийти, як в відділення банку, з паспортом і отримати реквізити заново.

4. Відсутність стандартів

Багато компаній не поспішають впроваджувати блокчейн через відсутність регулювання і чітких стандартів у цій сфері. І це дійсно може виявитися проблемою, особливо якщо компанія працює в різних країнах - в одній можуть приймати блокчейн, як технологічну основу, а в іншій - навпаки, вимагати отримання додаткових дозволів. До того ж відсутність законодавчої бази для технології говорить про те, що в якийсь момент вона може з'явитися і бізнесу доведеться переробляти систему в залежності від вимог, домагатися нових дозволів і т. Д. Адже ніхто не гарантує, що створена сьогодні система буде відповідати вимогам, які з'являться завтра.

5. Потреба в «кріптоюрістах»

Ще одна дуже важлива проблема - відповідність смарт-контрактів реальним домовленостям. Смарт-контракт є результатом програмування, і в бізнес-практиці вже були випадки, коли помилки в смарт-контрактах дозволяли зламувати приватні блокчейни і влаштовувати DDoS-атаки. А що якщо в смарт-контракті навмисно зроблені лазівки або двояко прописані умови якихось угод? Для того щоб застрахуватися як від випадкових недоліків, так і від зловмисних дій, необхідно перевіряти код смарт-контракту перед його запуском, адже зміни в блокчейн внести буде вже неможливо. Текст паперових контрактів готується і перевіряється юристами, а «кріптоюрістов», які могли б упевнитися, що код смарт-контракту відповідає умовам угоди, на ринку поки не спостерігається.

6. Відповідність вимогам законів

Нарешті, блокчейн створює певні проблеми, якщо ми говоримо про поточну нормативній базі. Наприклад, європейський набір нормативних актів щодо захисту персональних даних GDPR диктує в тому числі право на забуття - видалення всієї інформації про користувача. До речі, аналогічний закон діє сьогодні і в Росії. Але видалити дані з блокчейна неможливо. Вони фіксуються там «навічно» - поки не будуть відключені вузли мережі. Якщо говорити конкретно про право на забуття, швидше за все, воно не буде поширюватися на блокчейн, так як проблема неможливості видалення даних очевидна. У будь-яких інших випадках залишається лише перед записом в блокчейн аналізувати інформацію і зберігати її в тому форматі, в якому вона не буде порушувати чинних законів.

Вихід - класичний підхід до ІБ

І тим не менше блокчейн викликає величезний інтерес з боку компаній, для яких використання розподіленого реєстру може забезпечити фінансові вигоди, конкурентні переваги. З точки зору безпеки до блокчейну можна і потрібно застосовувати класичні підходи, такі як CIA (Confidentiality-Integrity-Accessibility), що пропонують оцінювати параметри конфіденційності, цілісності і доступності, а також гексаду Паркера, яка доповнює ці три правила параметрами контролю, автентичності та корисності. І блокчейн, так само як і всі інші технології, необхідно оцінювати з точки зору комплексної безпеки, з огляду на ризики по всіх шести напрямках. Наприклад, щоб публічний блокчейн не створював загрози конфіденційності, доступ до нього можна обмежити на рівні додатків. Щоб не втратити корисність даних, потрібно стежити за інфраструктурою ключів і не допускати їх втрати. Для забезпечення контролю над процесами слід приділяти пильну увагу розробці смарт-контрактів і так далі.

Найважливіше, що потрібно мати на увазі на піку популярності кріптотехнологій, - блокчейн не може бути на 100% безпечний сам по собі, як і будь-яка інша система «з коробки». У недавньому минулому ми бачили аналогічну картину з виртуализацией і хмарними сервісами, над захистом яких довелося неабияк попрацювати протягом декількох років. Так і сьогодні бажаючим отримати переваги від нових кріптотехнологій потрібно буде попрацювати, створюючи для них модель загроз і забезпечуючи відповідний захист. Цікаво, що при вивченні ризиків нового підходу часом компанії приходять до висновку, що в певних сферах їм зовсім не потрібен блокчейн. І це цілком типово для технологій, які перебувають на піку Hype Cycle. Тому сьогодні потрібно не прагнути впровадити цю технологію як таку, а реально оцінити переваги і недоліки використання нових рішень, не забуваючи про те, що безпека блокчейна залежить від дещо інших факторів, ніж безпека хмарних середовищ або розподілених сховищ даних.

Ключові слова: блокчейн , безпеку

Гарячі теми: аксіоми кібербезпеки

Журнал: Журнал IT-Manager [№ 08/2018] , Підписка на журнали

компанія: Zecurion