Тимур Аитов: Плюсы блокчейна перевешивают риски

Сегодня много говорим о блокчейне, провозгласили его чуть ли не основой цифровой экономики. Тем не менее, уже существует определенное недоверие к работе некоторых приложений блокчейна — прежде всего, криптовалютам. СМИ сообщают о многочисленных взломах криптобирж, у пользователей пропадают "секретные" ключи для управления криптокошельками и т. д. Так ли безопасен блокчейн, как в этом убеждают нас его евангелисты? Надежно ли защищен? И действительно ли хорош для цифровой экономики?

С этими вопросами мы обратились к эксперту, кандидату физико-математических наук, заместителю генерального директора группы компаний "Программный Продукт", зампреду подкомитета ТПП РФ по платежным инструментам и информационной безопасности Тимуру Аитову.

К: Для начала общий вопрос — что такое блокчейн и как он работает? Действительно ли способен убрать многочисленных "посредников" с рынка и разрешить проблемы, которые сопровождают работу существующих централизованных систем учета? Есть ли недостатки у новой технологии?

Блокчейн — цифровой реестр, его часто называют книгой. В "книге" хранится в неизменном виде хронологическая последовательность транзакций, произошедших в компьютерной сети. Записи транзакций сохраняются в виде укрупненных структур — блоков. Над созданием блоков добровольно работают "майнеры", имеющие для этого необходимые вычислительные ресурсы. Новые блоки связывают с предыдущими блоками с тем, чтобы не произошла подмена транзакций. Принцип формирования блоков (и единый взгляд участников на эту процедуру — так называемый консенсус) различны для разных блокчейн-платформ.

Демократичность алгоритма создания цепочек блоков обеспечивает доверие участников сети друг к другу, эти участники, чаще всего, незнакомы и, более того, анонимны. Участники верят компьютерной процедуре — и это позволяет сторонам регистрировать любые транзакции без использования посредника или контролирующих органов. На базе блокчейн, например, уже предложены совершенно новые механизмы проведения финансовых транзакций — без какого-либо участия банков или специализированных платежных систем.

Тем не менее, пришло и понимание, что блокчейн не во всех случаях эффективен и не всегда позволяет убрать посредника. Скорее, новая технология решает проблемы и/или использует возможности, которые были упущены при создании существующих централизованных систем. Увы, в блокчейн остались и серьезные проблемы, связанные с его информационной безопасностью…

А вот с этого места, пожалуйста, подробнее. Мы часто слышим, что блокчейн — это панацея, панацея от хакеров и безопасная технология для учета любых транзакций любого бизнеса. А оказывается это один из мифов, которые его сопровождают. Также, как и миф о том, что блокчейн широко распространен…

Опасаться угроз информационной безопасности надо всегда, но не надо отказываться по этой причине от внедрения новых технологий. Практически все новые технологии содержат и новые риски, и новые угрозы, которые неизвестны заранее даже самим разработчикам. Эти угрозы устраняются постепенно в ходе промышленной эксплуатации технологии. Например, та же проблема, связанная с хищением закрытых ключей. Суть ее в следующем. В блокчейн цифровые активы и средства его защиты объединены в единую зашифрованную структуру — токен. Украсть цифровой актив можно, если знаешь секретный код — закрытый ключ владельца токена. Закрытый ключ уязвимым, если он хранится на листе бумаге, в памяти компьютера или в облаке. Для безопасного хранения ключей чаще всего используют специальное ПО, называемое онлайн-кошельками. Такой сервис предоставляют криптобиржи. Онлайн-кошельки удобны, но не безопасны — большие суммы хранить в них не рекомендуется. Существуют аппаратные кошельки (напоминающие по виду флешки), однако, и они уязвимы…

Что же происходит с биткоинами, после кражи ключей у их владельца?

Как только ключи украдены, хакер незамедлительно монетизирует актив, причем злонамеренная транзакция обычно необратима и анонимна. Онлайн-службы бирж, хранящие закрытые ключи — лакомый кусочек для хакеров. В качестве примера приведу гонконгскую криптовалютную биржу Bitfinex, со счетов которой украли сумму, эквивалентную 72 млн долларов. Если атака на хранилище криптокошельков затруднена, то в ход идут вирусные программы и участников сети заражают вредоносным ПО, которое "ищет" ключи.

То, что ключи стали слабым местом, интуитивно понятно. Все эти PIN-коды и номера банковских карт хакеры тоже постоянно атакуют, а ведь они, по сути, являются ключами доступа, но уже к банковским счетам — вот и в криптовалютных блокчейнах возникла схожая проблема. Но есть ли универсальный способ надежно защитить ключи? Ведь, даже если хранить ключи на бумажке или вообще в голове, то все равно придется их когда-то загружать в сеть и, возможно, в этот важный момент подвергнуться атаке злоумышленников? Существует ли универсальный способ надежного хранения и использования ключей, который можно рекомендовать читателям?

Сегодня многие уже используют HSM (hardware security module) для защиты и управления цифровыми ключами.

HSM — это криптопроцессор, который создает, защищает и сохраняет ключи. Например, HSM, размещенные в банковских центрах обработки данных, проверяют PIN-коды карт каждый раз, когда клиент снимает наличные деньги в банкомате. Использование HSM для защиты блокчейнов, цифровых кошельков и других приложений от хакеров может обеспечить надежную и защищенную вычислительную среду.

Что делает HSM настолько безопасным?

В обычном онлайн-кошельке все смешано — в одном приложении находятся и код доступа, и бизнес-логика, и криптография. Это опасно, а злоумышленник может использовать уязвимости

для кражи ключей. Если ключи "хранит" HSM, то злоумышленнику надо либо обладать правами администратора и получить доступ к данным до их шифрования, либо иметь физический доступ к HSM. А это делает атаку сложной и поэтому невыгодной для хакера.

Раньше HSM из-за высокой стоимости использовались только организациями, в последнее время появилась специальная категория защищенных ПК, которые поставляются со встроенным HSM и требуют двух факторов аутентификации (ключа и пароля), чтобы неавторизованные пользователи не могли получать доступ к устройству. Кроме того, эти ПК имеют антивандальную защиту от физических атак, а закрытый ключ автоматически стирается, если какой-либо из физических или логических элементов управления ПК нарушен. Использование таких ПК вместо цифровых кошельков обеспечивает надежную защиту цифровых активов.

Хакеры у нас воруют не только деньги и криптовалюту. Они стараются украсть и конфиденциальную информацию — я имею в виду наши персональные данные, которые, оказавшись в блокчейне, могут стать доступными всем участникам, в том числе, и злоумышленникам. Что здесь предлагает блокчейн для надежной защиты, поскольку уже идут разговоры о том, что на блокчейн надо перекладывать наши трудовые книжки?

Конфиденциальность персональных данных действительно стала проблемой, утечек, по-прежнему, много во всем мире. В странах ЕС в мае этого года вступил в силу специальный Свод законов о регулировании персональных данных (GDPR), причем во всех 28 странах ЕС единовременно. GDPR предусматривает огромные штрафы за компрометацию ПД или отсутствие согласия гражданина ЕС на обработку и хранение его ПД. По замыслу разработчиков, нормы GDPR должны предоставить гражданам ЕС "полный и окончательный контроль над своими персональными данными". Саму категорию ПД законодатели существенно расширили — например, включили в нее онлайн-идентификаторы типа IP-адресов и иные "анонимизирующие" идентификаторы, если они позволяют легко определить владельца ПД. Нестыковок GDPR с принципами блокчейн пока много. Например, безотзывность транзакций блокчейн уже противоречит нормам GDPR, которые, напомню, дают гражданину право менять провайдера и забирать у него в течение месячного срока в подходящем формате все, что он собрал. Нормы включают право требовать удалить свои ПД, включая ссылки на них у третьих лиц ("право на забвение"). Все перечисленное не только проблема публичных блочейн-цепочек, но и приватных блокчейнов, в которых данные также не могут быть просто так удалены.

А есть ли у вас какие-то рекомендации на этот счет?

Радикального решения нет. Чтобы соблюсти требования GDPR, оператор может хранить ПД или ссылку на эти данные вне блокечейн-сети — с их соответствующей криптозащитой. Хранение вне сети подразумевает, что ПД хранятся самими гражданами или в существующих централизованных системах. Однако хранение данных вне сети снижает прозрачность и увеличивает риск краж, поскольку информация распространяется по нескольким каналам.

В заключение по поводу всего вашего отношения к блокчейн — что в нем больше: плохого или хорошего? И как все его потенциальные преимущества — не перевешивают ли их риски?

Блокчейн хорош, если построен правильно. В том числе, с точки зрения его информационной безопасности. Всего этого добиться можно. Безопасность обеспечивают надежная архитектура ИТ-систем, использование безопасных сред разработки программ, эффективные политики безопасности рабочих процессов. В сегодняшнем финтехе разрабатываемая надзорная и нормативная база призваны поддерживать инновации, обеспечивая стабильность, защиту потребителей и необходимую конкуренцию. А все новые цифровые продукты и услуги должны разрабатываться с соблюдением требований законодательства, кибербезопасности и конфиденциальности ПД — причем с самого начала процесса их разработки. Этого, кстати, требует и GDPR

Встройте "Правду.Ру" в свой информационный поток, если хотите получать оперативные комментарии и новости:

Подпишитесь на наш канал в Яндекс.Дзен

Добавьте "Правду.Ру" в свои источники в Яндекс.Новости

Также будем рады вам в наших сообществах во ВКонтакте, Фейсбуке, Твиттере, Одноклассниках, Google+...

Комментарии
Экономике США предрекли обвал в ближайшие годы
Русская зарубежная церковь прекратила отношения со Вселенским патриархатом
Министр обороны США признал Крым российским
Министр обороны США признал Крым российским
Глава Крыма раскрыл сообщников керченского стрелка
Глава Крыма раскрыл сообщников керченского стрелка
Министр обороны США признал Крым российским
Экономике США предрекли обвал в ближайшие годы
Почему Запад испугался слухов о входе России в Ливию
Польша: снесен последний монумент памяти
Польша: снесен последний монумент памяти
Министр обороны США признал Крым российским
Экономике США предрекли обвал в ближайшие годы
Почему Запад испугался слухов о входе России в Ливию
Министр обороны США признал Крым российским
Министр обороны США признал Крым российским
Почему Запад испугался слухов о входе России в Ливию
Министр обороны США признал Крым российским
Польша: снесен последний монумент памяти
Почему Запад испугался слухов о входе России в Ливию
Польша: снесен последний монумент памяти