КОДОВОЕ СЛОВО?
Как обеспечивается безопасность ЦФА?
Разбираем все аспекты защиты инвесторов и эмитентов — от информационной безопасности и особой архитектуры блокчейна до скоринга эмитентов.
КОДОВОЕ СЛОВО?
Хотя ЦФА основаны на распределенных реестрах, в плане подходов к безопасности вы найдете не так много общего с различными криптобиржами и прочими блокчейн-проектами, которые то и дело становятся героями скандалов о взломах. Гораздо ближе будет аналогия с крупными банками — строгие требования, которые нужно соблюсти для получения лицензии Центробанка включают «банковский» подход как к информационной безопасности и ИТ-инфраструктуре, так и к оценке рисков каждого выпуска. Давайте немного изучим каждый слой этой защиты.
Сам блокчейн значительно усложняет несанкционированные манипуляции с информацией, благодаря особому принципу её организации. Транзакции записываются в блоки, каждый из которых содержит ссылку на предыдущий блок. Блок подписан криптографической подписью того, кто его создал, поэтому невозможно подделать содержимое блока или опубликовать его от чужого имени. А связь каждого блока с предыдущим и поддержание механизмов цифровой подписи исключает модификацию ранее записанных блоков. Вот уж буквально «не вырубишь топором».
На русском блокчейн официально называется словосочетанием «распределённый реестр», но не во всех платформах ЦФА он достаточно широко распределён. Если все узлы блокчейна находятся внутри единственной организации, то теоретически возможна ситуация, когда злоумышленники берут под контроль всю её сеть и переписывают весь блокчейн, чтобы там что-то подделать. Ну или просто дописывают в конец нужные им транзакции. Одна из немногих платформ, на которой такой трюк невозможен – это Атомайз. Благодаря модели консорциума, которая предполагает наличие внешних узлов-валидаторов, подделать запись значительно сложнее. Блокчейн, применяемый в платформе Атомайз, уже сейчас включает ключевых партнёров, и будет расширяться по мере становления партнёрской сети из банков, бирж и крупных эмитентов.
Связь с партнёрами устанавливается при помощи выделенных и зашифрованных туннелей. ИТ-инфраструктура Атомайз поддерживает широкий спектр стойких криптографических алгоритмов и может поддержать совместимость с защитной инфраструктурой партнёра.
Ну а что, если среди участников консорциума кого-то взломали? На этот счет тоже приняты специальные меры. Алгоритм консенсуса BFT-SmaRt, отвечающий за то, чтобы все узлы сети были «согласны между собой» по поводу содержимого следующей записываемой в блокчейн транзакции, устойчив к враждебному поведению до 33% узлов сети. Этот механизм помогает и при простых технических сбоях и ошибках, будь то обрыв связи или отключение оборудования. Блокчейн продолжит нормально функционировать, не допуская «битых» записей и не теряя уже сохранённые корректные.
Возвращаясь к возможностям взлома или безответственного поведения валидаторов, отметим, что для подписи каждой транзакции из всего набора валидаторов выбирается случайное подмножество, поэтому возможности злоумышленников здесь тоже очень ограничены.
Роль валидатора настолько многоаспектна и важна, что мы считаем, что использование независимых валидаторов должно стать регуляторным требованием к ОИС.
Как и любая крупная компания в финансовом и технологическом секторе, каждый оператор информационных систем обязан соответствовать строгим требованиям регулятора по кибербезопасности. Например, в платформе Атомайз регулярно проходят внешние аудиты, в том числе на соответствие требованиям ГОСТ 57580.1, а также оценки защищённости с привлечением внешних лицензированных аудиторов. Успешно проведены и независимые аудиты исходного кода платформы. Более того, сам исходный код компонентов блокчейн-платформы Атомайз опубликован в open source.
Для предотвращения негативных последствий атак, нарушающих работу публичной части инфраструктуры, применяются специализированные меры: защита от DDoS (атак, перегружающих серверы холостыми запросами), WAF (инструмент защиты от атак на онлайн-приложения и веб-сайты). А от сбоев оборудования или электропитания защищает географически распределённая облачная инфраструктура нашего центра обработки данных.
Во многих известных атаках на блокчейн-системы главной целью злоумышленников является похищение криптографических ключей, позволяющих им подписывать операции цифровой подписью от имени жертвы. Чтобы минимизировать этот риск, все участники системы (включая инвесторов) должны строго соблюдать меры кибербезопасности, в том числе по хранению ключей. Наиболее совершенным способом хранения ключей являются специальные аппаратные инструменты, подключаемые для подписи транзакции и даже не передающие сам ключ на компьютер(в мире криптовалют нечто похожее называют холодными кошельками). Но каждый инвестор вряд ли обзаведётся такой полезной вещью. Решение, которое видит Атомайз — внедрение промышленной системы изолированного хранения криптографических ключей – HSM (hardware security module). Извлечь ключи из HSM невозможно, поэтому они и используются для хранения важных сертификатов безопасности и генерации подписей в очень крупных компаниях.
Многие атаки, проводимые с целью кражи денег, злоумышленникам проще провести, взломав не хорошо защищенный банк или ОИС, а одного живого человека — инвестора или сотрудника эмитента.
Чтобы избежать этого, при входе физических лиц в систему применяется трёхфакторная аутентификация. Сначала надо ввести пароль и одноразовый код из SMS, как при входе в онлайн-банк, но при проведении операций придется предоставить ещё и ключ подписи. Каждый следующий слой защиты усложняет задачу хакеров и снижает шанс, что они сосредоточатся на таком «крепком орешке».
В будущем, когда поправки законодательства позволят операторам ЦФА идентифицировать клиентов через ЕСИА («Госуслуги»), мы оперативно подключим такую возможность, упрощая клиентам вход в платформу Атомайз.
Для юридических лиц тоже предусмотрены усиленные меры защиты: генерация ключа подписи транзакций в закрытой инфраструктуре организации с помощью изолированного приложения, а также ограничение входа фиксированным списком IP-адресов. Обе меры подключаются по желанию клиента и позволяют реализовать политики ИБ самой организации. Благодаря второй мере, провести операцию, находясь вне сети компании, будет невозможно.
Простая, но эффективная мера – деньги с кошелька ЦФА можно вывести только на банковский счет, принадлежащий владельцу кошелька ЦФА.
Надо помнить, что реестр ЦФА – это просто запись имеющихся правоотношений между эмитентом и инвесторами. За исключением считанных дней при выпуске и погашении ЦФА, все остальное время деньги инвесторов находятся у эмитентов, и именно эмитент отвечает за своевременное выполнение обязательств. Но в такой гипотетической ситуации активы будут в неизменном виде переведены на другую аккредитованную Банком России платформу, а все обязательства эмитента (организации, которая выпустила ваши активы) сохранятся. На практике таких случаев не происходило, поскольку все ОИС запущены очень крупными организациями – требования для получения лицензии очень жёсткие.
Такой риск существует на финансовом рынке уже многие десятилетия, и меры по его минимизации хорошо известны. На рынке ЦФА они пока только внедряются (в Атомайз – уже внедрены), но мы ожидаем, что они станут стандартными и широко распространёнными по мере роста рынка.
При оценке эмитента Атомайз использует скоринговые модели на основе ИИ, подобные тем, что применяются банками при оценке заёмщиков. При подаче пакета документов на эмиссию проводится анализ многих аспектов деятельности эмитента и некоторые компании могут не пройти отбор.
Есть и второй возможный инструмент — рейтингование эмитентов и выпусков. Первый выпуск ЦФА, получивший кредитный рейтинг от АКРА, уже состоялся в прошлом году на платформе Атомайз. Хотя присвоение рейтинга немного удорожает процесс выпуска, весьма вероятно, что эта практика станет более широкой, как на рынке облигаций.
