Биткоин-биржи и тренды кибербезопасности: спасут ли аудиты и страхование ваши деньги

safe2_cover
safe2_cover

Безопасность остается слабым местом криптоиндустрии: в 2019 году хакеры похитили с криптобирж почти $300 млн. В ответ биржи, кошельки и процессинги идут на радикальные меры — от масштабных аудитов до многомиллионных страховых программ. Специально для ForkLog агентство BDCenter Digital выяснило, как криптопроекты защищают своих пользователей.

В прошлом году произошли 11 крупных атак на криптобиржи. Так, в марте хакеры похитили $105 млн с Coinbene; в мае — $40 млн с Binance; а в ноябре — $49 млн с Upbit. Кроме того, у брокера Coinmama украли логины и пароли 450 тысяч пользователей.

Игроки крипторынка понимают: пока проблема безопасности не будет решена, не стоит ждать массового распространения криптовалют. И уж тем более нет смысла ждать, что крупные институциональные инвесторы начнут вкладывать деньги в криптовалюту, если биржи и кошельки так легко взломать.

Полноценная система безопасности всегда предполагает комплекс мер. Поиск ошибок в коде, анализ бизнес-процессов, обучение сотрудников — все эти инструменты помогают минимизировать риски клиентов. Рассмотрим три интересных тренда в криптобезопасности: аудиты, переход на холодное хранение средств и страхование.

Аудиты SOC2: кейс Gemini

В конце января 2019 года биржа Gemini прошла аудит безопасности SOC2 Type 1. Причем в роли аудитора выступала компания из «большой четверки» — Deloitte & Touche. По сообщению Gemini, аудит занял 8 месяцев и еще раз подтвердил, что детище братьев Уинклвоссов – самая безопасная криптобиржа в мире. Но что же входит в аудит SOC2?

Стандарт аудитов Service Organization Control 2 (SOC2) был разработан в 2011 году Американским институтом сертифицированных бухгалтеров (AICPA). Задача аудита – определить, насколько безопасно провайдер услуг обрабатывает данные пользователей. Сюда входят защита базы данных от неавторизованного доступа, качество хостинга, политика обработки персональных данных и др.

Подчеркнем, что Gemini пока что прошла только аудит 1-го типа (Type 1). Его цена начинается от $20 000, и в традиционном бизнесе он широко распространен.

Аудит более высокого уровня — SOC2 Type 2 — подразумевает контроль безопасности на протяжении периода, а не просто на конкретную дату. Стоимость такой процедуры — от $30 000. Gemini обещала пройти эту проверку до конца 2019 года, но пока что этого не произошло.

Оценка защищенности проектов: мнение эксперта

Хотя аудит SOC2 очень престижен, он охватывает ограниченный ряд бизнес-процессов — а именно обработку данных клиентов. Кроме того, он не адаптирован под специфику блокчейн-технологий. Для того чтобы убедиться в безопасности криптоплатформы в целом, необходимы узкоспециализированные решения. Такую оценку защищенности блокчейн-сервисов предлагает крупная компания из сферы информационной безопасности «Лаборатория Касперского».

Она включает глубокий анализ кода веб-интерфейса и мобильного приложения, проверку каждой строки смарт-контракта, тесты проникновения, анализ рисков перехвата аккаунта и фишинга.

Некоторые уязвимости могут быть настолько не очевидны, что только детальный анализ сможет их выявить. Показателен случай с кошельком Coinomi: в феврале 2019 пользователь потерял эквивалент $70 000 из-за того, что при вводе пароля в Chrome браузер проверял правописание пароля через общий сервер googleapis.com. Таким образом, пароль был украден, хотя Coinomi это и не подтверждает.

Какой вид проверки лучше выбрать — SOC2 или анализ кода? Объясняет руководитель направления Blockchain Security «Лаборатории Касперского» Павел Покровский:

«SOC2 включает оценку бизнес-процессов и технических решений на предмет соответствия четкому стандарту, и здесь играют роль требования законодательства конкретной страны. При этом SOC2 не требует от компании проводить разовый или периодический анализ защищенности приложений или тестирование на проникновение. Таким образом, некорректно ставить вопрос о выборе между SOC2 или оценкой защищенности приложения. Оценка защищенности или тестирование на проникновение может быть как хорошим дополнением к аудиту SOC2, так и независимым инструментом оценки уровня безопасности».

Одним из последних проектов, которые успешно прошли оценку защищенности «Лаборатории Касперского», стал криптопроцессинговый сервис Cryptoprocessing.com — первый в мире, прошедший проверку такого уровня.

Продукты компании — платежный шлюз и персональный блокчейн-кошелек — включают расширенную поддержку фиатных валют. По словам СЕО компании Максима Крупышева, для b2b-провайдера такой сервис — не роскошь, а необходимость. Кроме того, банки, работающие с процессингом, требуют доказательств того, что сервис безопасен.

Переход на холодное хранение

Как известно, криптокошельки делятся на холодные и горячие. Разница между ними в том, что горячий кошелек установлен на устройстве, подключенном к интернету, а холодный такого подключения не имеет. Пока кошелек отключен от сети, хакеры не могут дистанционно его взломать.

Любая криптобиржа или криптопроцессинг должны держать определенный процент средств на горячих кошельках, чтобы обеспечить нормальный вывод средств. Однако именно горячие кошельки составляют излюбленную цель злоумышленников. Именно так пострадали Cryptopia, Binance, Coinbene, Bithumb, BITPoint и UpBit. В случае последней кража произошла в момент перевода криптовалюты из горячего кошелька в холодный.

Поэтому криптокомпании стремятся минимизировать долю криптовалюты в горячих хранилищах. Например, Cryptoprocessing.com хранит 100% клиентских средств в холодных кошельках, оставляя только собственные операционные резервы в горячем хранилище для обеспечения быстрых выплат. При этом важно соблюсти баланс, чтобы избежать задержек при массовом выводе. Так произошло в июле 2017 года с Coinbase, когда множество клиенты стали выводить биткоины в преддверии форка Bitcoin Cash и средства на горячем кошельке закончились.

Конечно, холодные кошельки тоже не лишены рисков. Так, в декабре 2019 бесследно исчез СЕО биржи IDAX — причем оказалось, что ключ от холодного хранилища был только у него. Таким образом, пользователи IDAX потеряли доступ к своим деньгам.

Страхование клиентских средств

Ни один аудит не может дать 100%-й гарантии того, что средства никогда не будут украдены. С одной стороны стремительное развитие технологии позволяет хакерам изобретать все новые уловки. С другой стороны — никто не отменял человеческий фактор: например, недавний взлом биржи Upbit, возможно, был организован кем-то из сотрудников.

В этом контексте крупные игроки начинают внедрять программы страхования средств. Даже в случае кражи клиент не пострадает, ведь ущерб возместит страховщик. Разумеется, только крупные компании могут позволить себе такую роскошь: риски в криптобизнесе высоки, и застраховать их стоит дорого.

Среди тех, кто уже страхует деньги клиентов, лидирует Coinbase. В апреле 2019 года компания сообщила, что средства на ее горячих кошельках застрахованы на $255 млн. Хотя на горячих кошельках хранится лишь 2% денег клиентов, именно они наиболее подвержены атакам. Страховые случаи включают хакерские атаки, кражу и утерю ключей, в том числе в результате действий сотрудников.

В своем блоге директор по безопасности Coinbase разъясняет, что поскольку сумма страховки очень велика, договор заключен сразу с большим числом ведущих страховых компаний через известного брокера Aon.

Некоторые компании (например, BitGo) страхуют средства на холодных кошельках. Однако нужно понимать, что средства в холодном хранилище подвергаются очень высокому риску, пока кошелек отключен от сети. Риск возникает в момент передачи криптовалюты из горячего кошелька в холодный и обратно, но как раз эти ситуации страховка обычно не покрывает.

В заключение: как быть маленьким компаниям

Мало кто из стартапов может позволить себе аудит SOC2 или программу страхования средств. Есть ли меры по повышению уровня безопасности, которые одновременно эффективны и недорого обходятся?

«Существуют открытые методологии обеспечения информационной безопасности – в частности, стандарт безопасной разработки SDLC (Software Development Lifecycle). Опираясь на эти рекомендации, небольшие проекты могут подобрать для себя инструменты, соответствующие их бюджету, вплоть до бесплатных open-source решений», — отмечает Павел Покровский.

По его словам, услуги по оценке защищенности приложений от известных провайдеров очень востребованы среди небольших компаний.

«Стоимость такой оценки безопасности вполне по карману стартапам, потому что и область исследования в небольших проектах гораздо меньше, чем в случае крупных компаний. Кроме того, стартапы обычно используют современные средства и языки разработки и организации инфраструктуры, что также упрощает процесс оказания сервиса», — добавил эксперт «Лаборатории Касперского».

Системы криптобезопасности развиваются одновременно в нескольких направлениях, и на рынке уже представлены решения для любого бюджета. Дело за малым: проекты должны осознать, что информационная безопасность – так же важна, как маркетинг или привлечение инвестиций. Как только защита средств станет приоритетом для финтех-стартапов, криптоиндустрия наконец сможет избавиться от своей сомнительной репутации и стать полноправным сегментом глобального бизнеса.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK