Displaying items by tag: Риски

2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии) были опубликованы материалы круглого стола, в котором принял участие Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт, на тему — Блокчейн в России: взгляд сквозь призму практики.

Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный. Эксперты с практическим опытом в области блокчейнов ответили на вопросы журнала «Информационная безопасность».

Участники:

Артем Калихов, генеральный директор Web3 Tech

Владимир Лазарев, со-основатель АМЛ Крипто

Александр Подобных, глава департамента расследований BitOK

Михаил Чеканов, генеральный директор АО «Промышленные криптосистемы»

Востребованы ли в России решения на основе блокчейнов, но не связанные с криптовалютами и цифровыми финансовыми активами?

Михаил Чеканов, Промышленные криптосистемы:

Безусловно, востребованы. На российском рынке представлены разные отраслевые решения, работающие на технологии распределенного реестра. Пример – наша платформа "Контрактиум" для управления цепочками поставок на базе цифровых контрактов с возможностью подключения финансовых и логистических сервисов.

Самым знаковым проектом для нас стала платформа Smart Fuel, спроектированная и разработанная в интересах компании "Газпром нефть". Решение переводит в цифру все операции, связанные с заправкой самолетов, от согласования цен и заказов до формирования отчетов в ФНС и взаиморасчетов через традиционную банковскую инфраструктуру.

Владимир Лазарев, АМЛ Крипто:

В России наблюдается высокий интерес к блокчейн-решениям. Технологии распределенного реестра применяются в различных сферах для повышения прозрачности, безопасности и эффективности бизнес-процессов. Особенно перспективными являются проекты, использующие смарт-контракты и NFT для надежного хранения данных и автоматизации действий.

Развитие этих технологий поддерживается как крупными предприятиями, так и государственными структурами, активно исследующими возможности блокчейна для оптимизации своих процессов. Мы в AML Crypto используем блокчейн для записи данных о результате проверки пользователем того или иного блокчейн-адреса. Это позволяет доказать факт должной осмотрительности при работе с внешними контрагентами.

Артем Калихов, Web3 Tech:

Да, востребованы. Ряд наших крупных блокчейн-проектов вообще не связан с ЦФА. Например, цифровая платформа распределенного реестра ФНС эффективно реализует взаимодействие государственных ведомств и финансовых организаций.

Федеральная блокчейн-платформа ДЭГ 2020 г. успешно используется избирателями по всей стране в единые дни голосования. Растет интерес к решениям для реорганизации трансграничных платежей, благодаря блокчейну здесь возможно множество вариантов реализации.

Александр Подобных, BitOK:

Да. Например, сервис ЕДРИД (Единый депозитарий результатов интеллектуальной деятельности), который работает уже более шести лет и позволяет оформить авторское право.

В онлайн-сервисе писатели, программисты, дизайнеры, фотографы, музыканты и ученые могут защитить свое авторское произведение (разместить на хранение электронную версию произведения) и получить документ в виде бумажного авторского свидетельства с несколькими степенями защиты.

В чем основные практические преимущества решений на основе блокчейна по сравнению с традиционной архитектурой?

Артем Калихов, Web3 Tech:

1. Блокчейн обеспечивает неизменность данных за счет своей архитектуры без необходимости дополнительных средств защиты.

2. В отличие от централизованной инфраструктуры, в рамках экосистемных проектов стоимость интеграции новых участников не растет экспоненциально.

3. Будучи распределенной системой, блокчейн обеспечивает отказоустойчивость, недоступную централизованным решениям.

4. Благодаря смарт-контрактам блокчейн позволяет просто автоматизировать различные договорные и транзакционные процессы.

Александр Подобных, BitOK:

1. Надежная защита на уровне криптографии (депонирование в электронном депозитарии подтверждает существование в определенный момент времени произведения при помощи цифровой подписи, электронного штампа времени и хеш-кода депонирования).

2. Быстрый и оптимальный по стоимости способ фиксации объекта прав (первым в мире реализовал способ фиксации времени депонирования авторского произведения в распределенном реестре).

3. Быстрый поиск аналогов по российским и иностранным базам при регистрации объекта авторских прав (и дальнейшая защита в соответствии с российским и международным законодательством).

4. К примеру, регистрация одного произведения заняла у меня один час и стоила 1200 руб. На следующий день уже поступило свидетельство на электронную почту (в Роспатенте рассматривают 2–3 месяца и стоит 25 тыс. руб.).

Михаил Чеканов, Промышленные криптосистемы: 

1. Математически гарантированное доверие к результатам совместной работы без необходимости в централизованном сервисе (базе данных). Традиционный же подход подразумевает наличие посредника, который всегда создает риски для других участников рынка.

2. Затраты на внедрение и сопровождение сопоставимы c традиционными решениями, а возможности развития и скорость реакции на изменения на основе блокчейна – гораздо выше.

3. Катастрофоустойчивость и доступность. Распределенная архитектура обеспечивает бесперебойное обслуживание сделок, главное, чтобы контрагенты были доступны. То есть каждый участник сам обеспечивает нужный ему SLA.

Владимир Лазарев, АМЛ Крипто:

Блокчейн обеспечивает прозрачность за счет неизменяемости записей, доступных всем участникам. Это усиливает безопасность, защищая данные криптографией и снижая риск мошенничества. Снижение затрат достигается за счет автоматизации и исключения посредников. Блокчейн повышает эффективность, ускоряя транзакции и процессы. Децентрализация снижает риски коррупции, увеличивая доверие.

Но важно отметить, что:

- преимущества блокчейна не всегда реализуются автоматически;

- для достижения желаемых результатов требуется тщательное планирование и реализация;

- блокчейн не является универсальным решением и подходит не для всех задач.

Есть ли технологические особенности реализации систем на основе блокчейна в России?

Владимир Лазарев, АМЛ Крипто:

В России реализация блокчейн-систем имеет свои технологические особенности: строгие нормативные требования, необходимость интеграции с устаревшими системами, высокие стандарты кибербезопасности на фоне геополитической ситуации, политика импортозамещения требует отечественных ИТ-разработок.

Ключевыми факторами являются: кадровый дефицит в области блокчейна, ограничения на использование криптовалют, требования к масштабируемости и энергоэффективности, а также необходимость обеспечения конфиденциальности данных. Кроме того, важно учитывать юридические аспекты, связанные с новизной технологии. При тщательном планировании и реализации блокчейн может стать мощным инструментом для развития различных сфер российской экономики.

Артем Калихов, Web3 Tech:

Технологические особенности реализации блокчейн-систем в России связаны в первую очередь с регуляторной политикой в отношении средств криптографии. Для информационных систем здесь предусмотрен список ГОСТов, охватывающий множество направлений – хеширование, контроль целостности и не только.

Этим требованиям пока соответствуют лишь единичные решения на рынке, в том числе наша платформа "Конфидент", имеющая сертификацию средства криптографической защиты информации КС2.

Александр Подобных, BitOK:

Если говорить об операторах выпуска или обмена ЦФА (регулирует деятельность которых Банк России), то, скорее всего, речь будет идти о приватных (частных) блокчейнах. А так как для финансового сектора есть жесткие требования по защите информации, то потребуется и отечественная криптография.

Михаил Чеканов, Промышленные криптосистемы:

Отечественный рынок выдвигает два основных требования:

- обеспечение юридической значимости операций;

- надлежащая защита данных.

Одним из критичных факторов для большинства заказчиков на нашем рынке является поддержка сертифицированных СКЗИ. Это связано с выросшим уровнем угроз ИБ и ужесточением государственного регулирования. В нашем случае эта задача решена путем встраивания сертифицированных средств криптозащиты линейки ViPNet.

Какие технологические возможности стоит учесть в российских системах, с учетом опыта криптовалютных блокчейнов, каких ошибок лучше избежать?

Артем Калихов, Web3 Tech:

Стоит отметить, что в подавляющем большинстве российских проектов используются приватные блокчейны, а не публичные протоколы, применяющиеся для криптовалют. Они обладают другой моделью безопасности. Особое внимание, как правило, стоит уделять безопасности смарт-контрактов, архитектуре блокчейн-решений, криптографии, защищенности и конфиденциальности данных.

Михаил Чеканов, Промышленные криптосистемы:

Лучшее решение – это избегать одноранговых платформ, выросших из криптовалютных блокчейнов. Они плохо интегрируются с реальным ИТ-ландшафтом, инфраструктурой безопасности и здравым смыслом.

Александр Подобных, BitOK:

Многие проекты в нашей стране начинались из открытых проектов или путем создания форков (новых веток). Важно купировать выявленные за это время уязвимости и учитывать наработки сообщества по совершенствованию алгоритмов этих блокчейнов.

Необходимо соблюдать баланс между уровнем децентрализации и анонимностью. Не нужно забывать про формирование единой экосистемы и унификацию блокчейнов и смарт-контрактов, обращать внимание на формирование инновационной культуры и спроса на инновационную деятельность.

Владимир Лазарев, АМЛ Крипто:

При разработке блокчейнсистем в России стоит учесть опыт криптовалютных блокчейнов, особенно в вопросах масштабируемости, конфиденциальности и регулирования. Важно выбирать технологии, обеспечивающие высокую пропускную способность и анонимность транзакций и при этом соответствующие законодательству.

Необходимо обеспечить безопасность и прозрачность, а также гладкую интеграцию с существующими системами, придерживаясь при этом законодательных требований. Для успешной реализации проекта критически важно избегать таких ошибок, как выбор неподходящей платформы, недооценка сложности проектов, пренебрежение безопасностью, неготовность к изменениям и игнорирование регулятивных требований.

Как применение блокчейнов увязывается с текущим законодательством?

Александр Подобных, BitOK:

В сфере ЦФА важны локализация и суверенитет. Так, операторы должны использовать продукты из реестра отечественного ПО, российскую криптографию и иметь лицензию ЦБ РФ. На практике мы видим скорее применение частных (но иностранных) блокчейнов с достаточно надежным шифрованием, соответствующим международным стандартам защищенности.

Если говорить о перспективах развития 115-ФЗ и его оптимизации, то необходимо создание единого оператора по KYC/AML, который будет хранить информацию о клиентах и рисках во внутреннем блокчейне (и предоставлять доступ операторам ЦФА и банкам, для которых процедуры слишком ресурсоемки). На сегодняшний день техническая возможность для этого уже есть.

Артем Калихов, Web3 Tech: 

Формально использование самих блокчейн-технологий в нашей стране не регулируется. Тем не менее требования законодательства затрагивают целый ряд технологий, необходимых для практического применения блокчейна, – криптографические алгоритмы, TLS, PKI, и не только.

Блокчейн-платформам необходима гибкость, в некотором смысле даже модульность, которая позволит подстраиваться под регуляторные политики – как для ИТ-отрасли в целом, так и для отдельных сфер применения, например для финансового сектора.

Михаил Чеканов, Промышленные криптосистемы:

Грамотно спроектированные прикладные решения на базе распределенных реестров хорошо вписываются в действующее законодательство. На данный момент мы не видим каких-либо непреодолимых барьеров. Отдельные нормы можно было бы оптимизировать, но лучшее – враг хорошего.

Например, ФЗ-259 "О ЦФА" зарегулировал рынок цифровых активов до абсурда. До сих пор непонятно, зачем в нем упомянуты распределенные реестры, если все функции привязаны к централизованной информационной системе оператора (обмена) ЦФА. Примерно с таким же успехом можно было бы "завернуть" Интернет в отдельного оператора связи.

Владимир Лазарев, АМЛ Крипто:

Законодательство может стимулировать развитие блокчейн-технологий и их применение. Но в то же время несвоевременные или недоработанные законы замедляют прогресс.

Эффективное внедрение блокчейн-технологий требует гибких регуляторных рамок, создания множества пилотных зон для стимулирования экспериментов в этой области.

Источник: Информационная безопасность

2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии / Криптография) была опубликована статья Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта: Управление уязвимостями в криптокошельках.

Криптовалюта не лежит на кошельках, это всего лишь способ хранения закрытого (секретного) ключа. Примерно как на пластиковой банковской карте нет самих денег, она лишь открывает доступ к банковскому счету. Кошельки – это программные или аппаратные средства, которые подвержены уязвимостям. Разберемся, в чем их особенность и какими методами обеспечивается информационная безопасность в этой области.

Проблемы и угрозы

Криптовалютные кошельки во всем их многообразии можно поделить на две большие категории: к холодным относят аппаратные, к которым есть физический доступ, а к горячим – браузерные или мобильные приложения.

Холодные кошельки не подключаются к Интернету и считаются самыми безопасными – это бумажные кошельки, флешки и т.п. Их нужно подключать к компьютеру или телефону для совершения транзакций.

Важно отметить, что при использовании холодных криптокошельков за сохранность закрытых ключей и средств, к которым они предоставляют доступ, несет сам владелец, а при использовании горячих ответственность ложится на оператора сервиса (кастодиана или депозитарий).

Основные проблемы и угрозы, с которыми сталкиваются пользователи криптовалютных кошельков, включают в себя следующие.

1. Взломы и кибератаки. Криптовалютные кошельки могут стать целью злоумышленников, которые стараются получить доступ к частным ключам и совершить кражу средств.

2. Фишинг. Злоумышленники могут создавать поддельные веб-сайты и электронные письма, имитирующие официальные криптовалютные сервисы, на которых пользователи вводят свои

аутентификационные данные и теряют доступ к средствам.

3. Потеря доступа. В случае утери пароля, закрытого ключа или резервной фразы пользователи могут лишиться доступа к своим средствам без возможности их восстановления. К утере можно отнести также и невозможность их вспомнить.

4. Социальная инженерия. Атаки могут быть направлены не только на технические слабые места, но и на слабые места в поведении пользователей, которые подвергаются обману с целью раскрытия их конфиденциальных данных.

5. Влияние человеческого фактора. Ошибки в управлении кошельком, неверное сохранение частного ключа или резервной фразы также могут привести к потере средств.

6. В последние годы для российских пользователей высокие риски несут санкции, реализуемые площадками по требованию иностранных регуляторов (OFAC, SEC, FCA). При этом одни биржи просто блокируют кошельки (так поступили большинство площадок), другие же дают время на вывод средств (как было с Binance в 2023 г.)

7. Растет также количество взломов, связанных с инсайдерами в самих проектах. Они сливают информацию о кошельках, платформах, протоколах взаимодействия.

8. Многих разработчиков в последнее время интересует защита от квантовых компьютеров, в частности защита от перебора приватных ключей. Возможно, угроза со стороны квантовых компьютеров преувеличена, однако она все же существует, и многое зависит от того, какие шаги предпримут блокчейн-разработчики до того момента, когда эта угроза станет более реальной.

К примеру, разработчики Ethereum ведут разработку устойчивых к квантовым атакам методов криптографии, таких как подписи Winternitz и технология с нулевым разглашением STARK.

Примеры уязвимостей и их эксплуатации

В феврале 2018 г. сообщество отметило несколько новостных статей, в которых утверждалось, что Национальный институт стандартов и технологий (NIST) активно расследует уязвимость 2018 г. в приложении iOS Trust Wallet, которая была оперативно исправлена в том же году. Разработчики заверили пользователей в том, что их средства в безопасности, а кошельки безопасны для использования.

В августе 2022 г. произошла крупная кража токенов из кошелька Solana, которая была вызвана уязвимостью централизованного сервера Sentry. Исследователи обнаружили две новых технологии сбора данных из Solana, которые могут выполнять атаки с перестановкой битов.

В конце ноября 2023 г. 1,5 млн биткойнов оказались под угрозой хищения из-за уязвимости Randstorm, которая позволяет восстанавливать пароли и получать несанкционированный доступ к множеству кошельков на разных блокчейн-платформах. Уязвимость связана с использованием BitcoinJS – открытой JavaScript-библиотеки для разработки криптовалютных кошельков в браузере.

Проблема заключалась в недостатке энтропии, которую можно использовать для проведения брутфорс-атак и восстановления сгенерированных приватных ключей кошельков, причем уязвимости в базовых библиотеках, используемых в открытых проектах, могут иметь каскадные риски для всей цепочки поставок.

В декабре 2023 г., "надписи" на биткойнах были добавлены в Национальную базу данных уязвимостей США (NVD) и отмечены как угроза кибербезопасности. Это было сделано для привлечения внимания к недостаткам безопасности, которые были допущены при разработке протокола Ordinals в 2022 г. Добавление в список NVD означает, что уязвимость признана важной для информирования общественности.

В декабре 2023 г. новая функция в блокчейне Ethereum Create2 стала причиной кражи $60 млн. Злоумышленники нашли способ обойти системы безопасности криптовалютных кошельков, используя функцию, которая позволяет создавать смарт-контракты в блокчейне, причем с возможностью предварительного расчета их адресов до развертывания. Функция является легитимной, но она создала уязвимости в системе безопасности Ethereum.

Основной способ эксплуатации заключается в создании новых адресов контрактов без истории подозрительных транзакций. Злоумышленники заставляют жертвы подписывать вредоносные транзакции, после чего переводят активы на предварительно рассчитанные адреса.

В декабре 2023 г. многие криптосервисы оказались под угрозой из-за взлома кода кошелька Ledger. Уязвимость была исправлена, но успела затронуть несколько популярных децентрализованных сервисов, администраторы которых вынужденно отключили пользовательский интерфейс. Оказался скомпрометированным широко используемый код сервиса авторизации через криптокошелек Ledger. Компания сообщила, что им удалось удалить вредоносный код, но уязвимость эксплуатировалась в течение двух часов и распространялась на большинство популярных децентрализованных криптосервисов.

Как видно из этого выборочного списка, эксплуатация практически любой уязвимости в криптокошельках или криптопротоколах немедленно ведет к эксплуатации финансовых рисков.

Управление уязвимостями

Когда речь идет о контроле уязвимостей при эксплуатации криптовалютных кошельков, рекомендации всегда тривиальны, но от этого они не становятся менее важными.

1. Использование надежных кошельков. Выбор надежного и проверенного криптовалютного кошелька с хорошей репутацией снижает риск возникновения уязвимостей и кибератак.

2. Обновление системы и программного обеспечения. Регулярные обновления кошельков и всех связанных с ними программных компонентов помогают устранять известные уязвимости и обеспечивают безопасность системы.

3. Многофакторная аутентификация. Включение функции многофакторной аутентификации обеспечивает дополнительный уровень защиты от несанкционированного доступа к кошельку.

4. Резервное копирование и безопасное хранение ключей. Регулярное создание резервных копий ключей доступа к кошельку и их безопасное хранение в надежном месте поможет избежать потери средств в случае утери или повреждения исходного кошелька.

5. Обучение. Проведение обучающих мероприятий по безопасности криптовалютных кошельков поможет пользователям понять основные угрозы и принять меры по их минимизации.

Другими словами, чтобы минимизировать угрозы, рекомендуется использовать надежные и проверенные криптовалютные кошельки, следовать правилам кибергигиены и передовому опыту в сфере безопасности, таким как использование сложных паролей, установка двухфакторной аутентификации, резервное копирование закрытого ключа и резервной фразы, их хранение в надежном месте. Необходимо также проявлять бдительность и повышенное внимание при работе с криптовалютными операциями и подозрительными запросами.

Есть улучшения и в сфере стандартизации: в качестве примера можно привести механизм BIP (Bitcoin Improvement Proposal), используемый для предложения изменений в протокол биткоина. Предложения в рамках BIP разрабатываются членами сообщества, включая разработчиков, исследователей и пользователей, и предназначены для обсуждения и координации изменений в сети.

Обратим внимание на предложение BIP-0039 (обычно называемое просто BIP39) – это стандарт, определяющий метод генерации мнемонических фраз для создания и восстановления кошельков биткоин и других криптовалют.

Мнемоническая фраза (Seed Phrase) представляет собой набор слов, который можно легко запомнить и использовать для восстановления частного ключа кошелька. Этот стандарт был предложен для упрощения процесса резервного копирования и восстановления кошельков, а также для повышения безопасности, предоставляя пользователю удобный способ резервного копирования и хранения секретной информации.

Мнемонические фразы по BIP39 особенно полезны для создания и использования кошельков с использованием множества криптовалют, так как они обычно поддерживаются большинством кошельков и платформ.

Замечания в заключение

Необходимо развивать взаимодействие и взаимную поддержку внутри сообщества по вопросам безопасности и устранения уязвимостей для повышения уровня безопасности криптоплатформ и криптосервисов.

Важным аспектом применения блокчейн-технологий стал запущенный в России цифровой рубль. К счастью, для него практически все, что было известно к моменту запуска, было учтено. Но остается важным вопрос операционной безопасности и повышения осведомленности граждан. Об этом требуется особая забота.

Все чаще злоумышленники используют фишинговые транзакции, фишинговые аирдропы (NFT), вредоносные смарт-контракты на сайтах для последующего опустошения криптовалютных кошельков. Это стало возможным ввиду доступности инструментов широкому кругу злоумышленников.

И конечно же, уже сегодня необходимо готовиться к грядущей квантовой угрозе, путем разработки квантовоустойчивых протоколов и технологий. В перспективе года-двух злоумышленникам могут стать доступны квантовые алгоритмы перебора ключей.

Источник: Информационная безопасность

29 июля 2022 года, вышел в свет 3-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных - DeFi: : инкапсулированная угроза децентрализованных финансов (в разделе Технологии \ Криптография).

Децентрализованные финансы (DeFi) – это набор специализированных приложений и финансовых сервисов на основе блокчейна, выстроенный по определенным правилам непрерывной последовательной цепочки блоков, содержащих информацию. Основная идея DeFi – создание независимой и прозрачной финансовой экосистемы, которая не подвержена влиянию регуляторов и человеческого фактора.

DeFi и NFT – две самые быстрорастущие области оборота криптовалют, причем почти половина криптотранзакций включает DeFi, NFT или связанные с ними типы смарт-контрактов. C помощью DeFi финансы становятся доступными кому угодно: пользователи проводят транзакции и решают финансовые вопросы напрямую друг с другом, а не через посредников в лице банков. Программное обеспечение для децентрализованной экосистемы позволяет взаимодействовать покупателям, продавцам, кредиторам и заемщикам. У разработчиков наиболее популярна сеть Etherium, но сервисы DeFi существуют и на других блокчейн-платформах: EOS, Waves, Tron, NEO, Polkadot, Binance Smart Chain.

Разница между централизованной (CeFi) и децентрализованной финансовыми системами заключается в том, как их пользователи достигают своих целей. В CeFi пользователи доверяют людям, стоящим за бизнесом, и регулирующим нормам законодательства. В случае с DeFi пользователи полагаются исключительно на технологии, программный код и алгоритмы шифрования.

В отличие от традиционных централизованных финансовых систем в DeFi майнеры генерируют новые монеты (токены), которые затем попадают в оборот и используются всем сообществом, а деньгами считаются криптовалюты и токены. Инвестиции также осуществляются через токены. Децентрализованные платформы, контролируемые сообществом, отвечают за кредитование.

Функционал обмена активов выполняют децентрализованные биржи, которые не требуют от пользователей предоставления официальных документов и не хранят их данные. Биржа не получает доступ к средствам своих клиентов, то есть реальный обмен происходит без посредника. Токены перемещаются между платформами DeFi с помощью обычных транзакций в блокчейне. Пользователь может забрать токены с одной платформы и инвестировать их в другую.

Важный компонент DeFi – cтейблкоины, это криптовалюты, стоимость которых привязана к тому или иному базовому активу. Например, Tether USDT привязан к курсу доллара США. Но не все так безоблачно. Риски, заложенные в архитектуру DeFi, достаточно серьезны.

Повышенная ответственность пользователей

У независимости есть и обратная сторона: сам владелец токенов и отвечает за их безопасность. Если ключ от кошелька окажется забыт или украден, доступ к активам будет безвозвратно утерян. Поэтому использование DeFi требует от пользователя довольно высокого уровня компетенции не только в части понимания механизмов работы смарт-контрактов, но и в основах информационной безопасности.

Кроме того, никакая организация не несет ответственности за действия участников внутри системы, что в том числе означает и невозможность обслуживания в привычном банковском смысле. Со всеми проблемами пользователь разбирается сам.

Инфраструктурные сбои и взломы смарт-контрактов

Доля средств, украденных с криптовалютных платформ по протоколам DeFi, неуклонно растет с начала 2020 г. По состоянию на середину 2022 г. на протоколы DeFi приходится 97% украденной криптовалюты, что составляет примерно $1,68 млрд. Эксперты считают, что большая часть этих средств досталась хакерским группам, связанным с правительствами.

Дело в том, что при возникновении критической ошибки в любом из протоколов появляется риск уязвимости всей системы, через которую можно проникнуть в любую точку цепи. Так, 10 августа 2021 г. в результате крупной хакерской атаки был взломан межсетевой протокол Poly Network, и злоумышленникам удалось украсть $611 млн. Это на сегодняшний день считается крупнейшей кражей в истории децентрализованных финансов.

Кроме того, рост транзакций DeFi создает новые технические проблемы для исследователей криптовалют и комплаенс-групп, поскольку децентрализованные протоколы и приложения, которые они используют, создают трудно отслеживаемые транзакции, более сложные, чем традиционные централизованные сервисы.

Неопределенность с регулированием DeFi

Изначально децентрализованная архитектура DeFi делает практически невозможным их регулирование со стороны государства. По крайней мере, это невозможно в том виде, в котором происходит регулирование традиционных CeFi. Тем не менее DeFi – это состоявшийся феномен, а государство априори берет на себя задачи предотвращения отмывания денег и финансирования терроризма через любой новый инструмент.

Например, в Минфине России с опасением следят за тем, как развиваются DeFi, в том числе и потому, что в децентрализованных финансах высока вероятность появления финансовых пузырей, которые могут причинить вред национальной экономике.

В России действует закон № 259 от 31.07.2020 г. "О цифровых активах" (ЦФА) , согласно которому с 1 января 2021 г. к выпуску и обороту разрешены только токены, эмитент которых зарегистрируется в ЦБ РФ. Аналогичное разрешение ЦБ должны иметь и торговые платформы. Существуют и другие ограничения вроде максимальной суммы для покупки токенов неквалифицированными инвесторами.

Впрочем, токены DeFi, обращающиеся на публичных блокчейнах, не попадают в предусмотренную законом категорию ЦФА, так как их разработчики вряд ли будут регистрироваться в ЦБ РФ – они останутся в "серой зоне".

18 февраля 2022 г. Минфином направлен в Правительство России проект закона о регулировании криптовалют "О цифровой валюте". В нем указано, что использование цифровых валют в качестве средства платежа на территории РФ будет запрещено. В рамках предлагаемого регулирования цифровые валюты рассматриваются исключительно в качестве инструмента для инвестиций.

Впрочем, специального регулирования для сферы DeFi пока не существует и в других странах, так как даже статус криптовалют еще мало где определен. В странах, где есть регулирование и налогообложение криптоактивов, например в Японии, Австралии, США и некоторых странах ЕС, доходы от DeFi рассматриваются в рамках соответствующего законодательства.

Мошенничество

В 2021 г. злоумышленники похитили более $10 млрд на инвестициях с применением технологии децентрализованных финансов. Мошенники выпускают токены-пустышки и завлекают инвесторов обещаниями чрезвычайно высоких доходов (так называемый Rug Pull). Стандартная схема Rug Pull: дождаться, пока торговля в пуле "разогреется" и цена токена подскочит, а потом вывести всю ликвидность и исчезнуть с деньгами.

В июне 2021 г. был опубликован стандарт ISO 23195:2021 Security Objectives of Information Systems of Third-Party Payment (TPP) Services – "Цели обеспечения безопасности информационных систем сторонних платежных сервисов". Согласно стандарту, провайдер TPP – это услуга, которая дает продавцам возможность принимать онлайн-платежи без необходимости иметь торговый счет. Но когда речь идет о безопасности, факт наличия посредника повышает риск мошенничества при обработке платежа.

ISO 23195 содержит согласованный на международном уровне перечень терминов и определений, две логические структурные модели и перечень целей безопасности. Для обеспечения максимальной актуальности логические структурные модели, активы, угрозы и цели безопасности в этом документе основаны на реальных практиках. Учитывая, что поставщики услуг TPP постоянно стремятся снизить риски мошенничества при проведении платежей, данный стандарт служит хорошим дополнением к уже существующим мерам по обеспечению безопасности платежей.

Низкая производительность DeFi

Блокчейны по своей природе работают медленнее, чем их централизованные аналоги. Поэтому при накоплении большого количества транзакций производительность протоколов DeFi начинает заметно снижаться.

Беспорядочность экосистемы DeFi

Как любая растущая сфера, экосистема DeFi еще не успела полностью сформироваться. Поэтому поиск наиболее подходящего, надежного и защищенного приложения может оказаться довольно сложной задачей. Однако сервисы в области DeFi активно развиваются, их цель – облегчить использование этой технологии и компенсировать ее недостатки, в том числе и в части безопасности.

Заключение

Секрет успеха DeFi в их доступности и автономности: участвовать в создании продуктов DeFi и пользоваться ими может каждый, независимо от гражданства и места жительства, ведь протоколы и экономические модели сервисов открыты для проверки и аудита.

Однако, увеличивающиеся инвестиции в DeFi привлекают внимание все большего количества хакерских групп, что усугубляется технической сложностью этой сферы, не всегда достаточной квалификацией пользователей и отсутствием эффективного регулирования со стороны законодательства.

Источник: Информационная безопасность

31 мая 2022 года, вышел в свет 2-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных - Сущность и риски NFT (в разделе Технологии \ Криптография).

Технология “блокчейн” известна в основном как основа для криптовалют, но сейчас она приобретает популярность благодаря своей роли в торговле невзаимозаменяемыми токенами, NFT. В то время как криптовалюты, как и физические деньги, являются взаимозаменяемыми, то есть они равны по стоимости и могут быть проданы или обменены друг на друга, каждый NFT имеет свою собственную цифровую подпись, которая делает невозможным обмен NFT. NFT – это цифровые активы с запрограммированной редкостью, и поэтому они идеально подходят для представления прав собственности на уникальные виртуальные активы и цифровые удостоверения.

Таксономия NFT

Невзаимозаменяемый токен NFT – это уникальный цифровой идентификатор, который нельзя копировать, заменить или разделить. NFT записывается в блокчейне и используется для подтверждения подлинности конкретного цифрового актива и права собственности на него, например на исходную версию онлайн-фото или видео. Ранними предшественниками невзаимозаменяемых токенов были подкрашенные монеты. Это были очень маленькие единицы биткойна, которые "окрашенные" определенными атрибутами, закодированными в метаданных с использованием встроенного языка сценариев. Таким образом, единица размером всего один сатоши (0,00000001 BTC) могла представлять собой любой актив. Цветные монеты позволяли создавать не только NFT, но и другие активы. И хотя концепция цветных монет представлялась весьма мощной и перспективной, у нее были и серьезные недостатки, препятствовавшие ее развитию.

Сеть биткойна официально не поддержала подсвеченные монеты, поэтому признать их существование могли только поставщики кошельков. Минимальный размер для биткойн транзакций тогда же был увеличен до 5430 сатоши (0,000543 BTC), что оказалось слишком большой суммой для реализации концепции подкрашенных монет. Окончательный закат идеи ознаменовало принятие стандартов NFT в 2015 г. Первым общепризнанным стандартом NFT стал Ethereum (сеть "Эфириум") ERC 721. "Эфириум" был пионером в этой сфере и до сих пор является наиболее популярной блокчейн платформой для создания NFT. Со временем появились и другие протоколы, такие как Solana и Tezos. Общепринятыми сейчас являются стандарты ERC 721 и ERC 1155. ERC 721 – это наследуемый стандарт смарт-контрактов надежности, то есть разработчики могут легко создавать новые контракты, совместимые с ERC 721, импортируя их из библиотеки OpenZeppelin. В сети "Эфириум" метаданные постоянно хранятся в NFT, они могут изменяться в соответствии с логикой цепочки, а логика сети может взаимодействовать с метаданными. Но большинство проектов хранят свои метаданные вне сети "Эфириум" из-за текущего ограничения по хранению на блокчейне – либо по общедоступному URL-адресу, либо на централизованных серверах, таких как InterPlanetary File System (IPFS). В рамках технического комитета ISO/TC 307 "Блокчейн и технологии распределенного реестра" (Blockchain and distributed ledger technologies) создано 14 рабочих групп, в том числе по цифровым валютам, смарт-контрактам, аудиту распределенных реестров и по представлению физических активов в виде невзаимозаменяемых токенов (NFT). Связанные с NFT стандарты находятся в разработке и у технического комитета ISO/TC 68/SC 2 "Финансовые услуги, безопасность": l аспекты безопасности для цифровых валют – ISO/DTS 23526 Security aspects for digital currencies; l информационные технологии – методы безопасности – DLT и блокчейн для финансовых услуг – ISO/DTR 24374 Information technology – Security techniques – DLT and Blockchain for Financial Services3. Существуют также взаимосвязи с множеством других рабочих групп, в том числе по вопросам постквантовой криптографии, которая воспринимается как перспективная угроза и для технологии NFT.

NFT и вопросы законодательства

На сегодняшний день многие существующие регуляторные и правовые среды по всему миру не применимы к цифровым активам, включая NFT. Но правительства и регулирующие органы ряда стран, в том числе и России, работают над тем, чтобы обеспечить регулирование этой быстро развивающейся сферы. Например, Сингапур, Бермудские острова, ЕС и Великобритания внедряют специальные правила для размещения цифровых активов, в то время как США работают над применением уже существующей нормативной базы для этих новых классов активов. Хотя большинство существующих в настоящее время NFT не похожи на ценные бумаги, вскоре ситуация может измениться: в некоторых случаях NFT классифицируются как ценные бумаги и таким образом подпадают под соответствующие законодательные ограничения на перепродажу. Кроме того, NFT, весьма вероятно, станет подпадать под действие законов и нормативных актов о противодействии отмыванию доходов и финансированию терроризма. Это потребует от торговых площадок NFT сообщать о подозрительной активности и транзакциях. Африка и Индия предприняли шаги, чтобы вовсе ограничить или запретить гражданам использование NFT и криптовалют. Отдельно стоит упомянуть, что законы об авторском праве, интеллектуальной собственности, товарных знаках и логотипах, правах личности и неимущественных правах хотя и сильно отстают от развития индустрии NFT, но в ближайшем будущем ситуация, скорее всего, изменится.

Комментарий эксперта 

Наталья Мануйлова, судебный эксперт, специалист по ПОД/ФТ и цифровым активам

В настоящий момент в рамках мероприятий по ПОД/ФТ/ФРОМУ с NFT, как и с другими цифровыми активами, необходимо использовать риск-ориентированный подход. Особое внимание требуется уделять не только самой ценности NFT как актива и инвестиционного инструмента, но и стандартным для антиотмывочных мер процедурам – идентификации (KYC) и анализу транзакций клиента (KYT). Так, например, для митигирования риска вовлечения в отмывание преступных доходов при проведении процедур идентификации клиента необходимо обращать внимание на то, что клиент выдает себя за другое лицо в социальных сетях, имеет неподтвержденные учетные записи, у которых также нет активной подписки и активности. Если мы говорим о сообществе, то смотрим, например, насколько сообщество легализовано, работает ли в рамках правового поля какой-то юрисдикции и пр. Основная работа в расследовании, конечно, лежит в плоскости анализа самого NFT и его цифрового следа. Здесь требуется обращать внимание и на динамику цены NFT, на адрес контракта на веб-сайте проекта и в смарт-контракте, и на условия выполнения транзакции.

Источник: Информационная безопасность 

Объединенный комитет начальников штабов глобальной налоговой службы (J5) объявил в Вашингтоне 28 апреля 2022 года о выпуске исследовательского бюллетеня, предупреждающего банки, сотрудников правоохранительных органов и частных лиц о некоторых угрозах при работе с невзаимозаменяемыми токенами (NFT).

Документ «Индикаторы красных флажков J5 NFT Marketplace», является первым в своем роде документом J5. В нем перечислены элементы, которые должны вызывать беспокойство, когда вы имеете дело с NFT или планируете его приобрести. Документ не предназначен для того, чтобы быть исчерпывающим списком рисков, связанных с NFT, а скорее списком лучших практик из пяти стран в J5 из их опыта с NFT в различных расследованиях. В то время как большинство владельцев криптовалюты и тех, кто покупает NFT, делают это по уважительным причинам, преступники ищут любые способы использования новых технологий. Криптовалюты и NFT не защищены.

«Это пространство меняется так быстро, и технологии и продукты могут стать «следующей большой вещью» без какой-либо должной осмотрительности или регулирования со стороны создателя продукта», — сказал специальный агент Олег Поберейко, руководитель J5 Crypto Group. «Мы попытались создать продукт, который помог бы обеспечить безопасность людей, пока правоохранительные органы решают эти конкретные проблемы».

Цель этого документа - предоставить банкам, партнерам из правоохранительных органов и частному сектору информацию о потенциальных красных флажках на торговых площадках NFT. J5 стремится постоянно совершенствовать меры по обнаружению мошенничества для обнаружения и предотвращения преступной деятельности. NFT может быть любым цифровым активом, включая рисунки, музыку или все, что можно рассматривать как искусство. Они были описаны как эволюция коллекционирования изобразительного искусства, только цифровая.

J5 признает, что данные, доступные для торговых площадок NFT, могут предоставить дополнительные и ценные перспективы в борьбе с мошенничеством. Список возможных атрибутов счетов или транзакций включен в документ, который может предоставить эти идеи. Вполне вероятно, что какой-либо признак в отдельности не будет окончательным признаком мошенничества, однако составной набор признаков риска после процесса «Бизнес как обычно» может дать представление о потенциальном мошенничестве:

«Я надеюсь, что это первый из нескольких исследовательских бюллетеней, которые выпускает J5», - сказал Джим Ли, начальник отдела уголовных расследований IRS. «Мы делаем невероятно инновационные вещи в J5, и уроки, которым мы учимся являются передовыми. Обмен этой информацией с государственным и частным секторами может только помочь остановить различные виды мошенничества, прежде чем они станут следующим делом в нашем расследовании».

«Криптовалюта становится все популярнее в Австралии, и многие предпочитают инвестировать в нее как часть своего портфеля», - сказал заместитель комиссара ATO и руководитель J5 Уилл Дэй. «Эта работа представляет собой набор индикаторов NFT Red Flags, выпущенных J5 для предупреждения общественности о рисках, на которые финансовые учреждения могут ссылаться, чтобы помочь им выявить незаконную финансовую деятельность, связанную с NFT. Предполагается, что она станет первой из многих, которые могут быть использованы финансовыми учреждениями для помощи в борьбе с налоговыми преступлениями и отмыванием денег с использованием виртуальных активов. Этот отчет представляет собой уникальную и прогрессивную инициативу, и J5 надеется на более тесное сотрудничество с индустрией виртуальных активов, чтобы соответствовать быстро развивающейся и очень сложной среде, в которой мы живем».

В следующем месяце участники J5 соберутся в Лондоне (Англия) на ряд встреч, одна из которых называется J5 Challenge. Мероприятие объединяет экспертов из каждой страны с миссией оптимизации данных из различных открытых и следственных источников, доступных для каждой страны, включая информацию об оффшорных счетах. Используя различные аналитические инструменты, представители каждой страны будут объединены в команды, которым будет поручено генерировать потенциальных клиентов и находить налоговых преступников с использованием криптовалюты на основе новых данных, доступных им через The Challenge. Это будет четвертая итерация конкурса. Работая в рамках существующих договоров, реальные наборы данных из каждой страны были поставлены перед задачей установить связи, тогда как текущие индивидуальные усилия потребовали бы годы для установления таких же связей.

J5 возглавляет борьбу с международными налоговыми преступлениями и отмыванием денег, в том числе с угрозами криптовалюты, а также с теми, кто предпринимает или способствует глобальному уклонению от уплаты налогов. Они работают вместе для сбора информации, обмена сведениями и проведения скоординированных операций против транснациональных финансовых преступлений. J5 включает Австралийское налоговое управление, Налоговую службу Канады, Службу налоговой информации и расследований Нидерландов, Налоговую и таможенную служба её Величества в Великобритании и IRS-CI в США.

Источник: irs.gov

Подробности в документе ниже, и во вложении.

КРАСНЫЕ ИНДИКАТОРЫ
J5 NFT Marketplace

Введение

J5 была сформирована в 2018 году по призыву Целевой группы ОЭСР по налоговым преступлениям и работает вместе над сбором информации, обменом сведениями и проведением скоординированных операций, чтобы добиться значительного прогресса в борьбе каждой страны с транснациональной налоговой преступностью. В состав J5 входят Налоговая служба Австралии (ATO), Налоговая служба Канады (CRA), Нидерландская налоговая служба, Служба информации и расследований (FIOD), Налогово-таможенная служба её Величества (HMRC) из Великобритании и Отдел уголовных расследований Налоговой службы (IRS-CI) из США.

Цель этого документа - предоставить банкам, партнерам из правоохранительных органов и частному сектору информацию о потенциальных "красных флажках" на торговых площадках NFT. J5 стремится постоянно совершенствовать меры по обнаружению мошенничества для обнаружения и предотвращения преступной деятельности. Этот документ не претендует на то, чтобы быть всеохватывающим, а скорее является собранием идей и лучших практик, полученных в результате расследований.

Мошенничество проникает в сектор

J5 признает, что данные, доступные для торговых площадок NFT, могут предоставить дополнительные и ценные перспективы в борьбе с мошенничеством. Ниже приводится список возможных атрибутов счета/транзакции, которые могут предоставить эти сведения. Некоторые из них могут быть получены только из транзакционной активности, а некоторые могут быть частью KYC или обычных данных о взаимоотношениях с клиентами. Вероятно, что какой-либо один индикатор по отдельности не будет окончательным признаком мошенничества, однако составной набор признаков риска после выполнения процесса «обычного ведения бизнеса» может дать представление о потенциальном мошенничестве:

Сильные индикаторы:

- Новоиспеченные или вторичные рыночные сделки на сумму > 100 000 долларов США без наблюдаемого сообщества.

- Сеть отправляющих и принимающих сторон одной и той же транзакции или группы транзакций.

- Недавно отчеканенные NFT, принадлежащие субъектам, немедленно продаются по высокой цене, что не соответствует другим в коллекции (потенциально скрывая истинную причину покупки).

- NFT, проданные за большие суммы и выкупленные у той же или третьей стороны за меньшие суммы, будут сильным индикатором.

- Быстро оборачиваемость NFT с низкой стоимостью. Например, на Top Shots с NBA вы видите много недорогих (то есть менее 10 000) NFT, покупаемых в тот же день только владельцами удерживая позицию в течение нескольких минут. Это может быть способом отмывания средств - так что владейте ими в течение очень короткого периода времени.

- Явно переоцененный/недооцененный NFT, который часто торгуется в короткие промежутки времени.

- Обманная торговля – искусственное увеличение стоимости продажи при каждой продаже между связанными аккаунтами.

- Неправильный Mint адрес - адрес контракта не соответствует адресу, указанному на веб-сайте проекта.

- Требование seed-фразы из кошелька Ethereum в дополнение к адресу кошелька MetaMask для выполнения транзакции.

- Мошенничество с фишингом: поддельные предложения по NFT, рассылаемые по электронной почте.

- Раздача поддельных токенов/аирдропы.

- Выдача себя за другое лицо в социальных сетях - неподтвержденные учетные записи, у которых также нет активной подписки и участия.

- Похожие коллекции NFT - копирование, чтобы использовать для мошенничества.

- Значительное количество продаж в коллекции, купленной у миксера.

- Сбор NFT из зоны повышенного риска.

- Цена. Если существует огромная разница в цене, обычно ниже, между сайтом и законным рынком, то есть основания полагать, что это мошенничество.

Умеренные индикаторы:

- Меньшие суммы разбиты на несколько транзакций, таких как > 10 000 долларов США x 5, за период без наблюдаемого сообщества. Следует также проявлять осторожность при рассмотрении этого индикатора отдельно, так как это также может быть вызвано тестированием программного обеспечения.

- Повторно используемый код в NFT. Также важно отметить, что совместное использование кода в сообществе разработчиков программного обеспечения является обычным явлением, поэтому сам по себе этот показатель не является окончательным.

- Чеканка NFT, покупка по завышенной цене и продажа со значительным убытком. Например, покупатель приобретает NFT за 1 миллион долларов и продает его за 750 тысяч долларов за очень короткое время. Это также может быть связано с общей волатильностью рынков, поэтому следует учитывать дополнительные соображения, прежде чем прийти к заключению.

- Нет миниатюры в профиле торговой площадки. Обратите внимание, что, как и другие индикаторы выше, этот индикатор сам по себе не является окончательным.

- Нет галочки для проверки на профиле рынка (обратите внимание, как и другие индикаторы выше, этот индикатор сам по себе не является окончательным):

а) Проверенные аккаунты с синей галочкой (OpenSea). Однако законные учетные записи могут быть взломаны незаконными субъектами, которые затем используют учетные записи для отмывания денег/мошенничества.

- Несуществующий адрес контракта (Ethereum) для отслеживания в проекте (Примечание: некоторые законные проекты также продемонстрировали это).

а) Нет ясности, когда и где был отчеканен NFT.

- Поля свойств и описания проекта NFT пусты или указаны нечетко (Примечание: некоторые законные проекты также демонстрируют это).

- Значительное количество продаж в коллекции, купленной с одного или кластерного кошелька.

Клуб Страховых Конференций приглашает принять участие в конференции Российское корпоративное страхование и урегулирование убытков, которая состоится 14 февраля 2022 года в AZIMUT Hotel Olympic Moscow. 

Вот некоторые из тем презентаций конференции:

- формирование и выбор страхового покрытия, как заставить страховые компании предложить справедливую страховую премию за риски;

- управление рисками и страхование, как единая система, обеспечивающая достижения бизнес-целей;

- Digital решения в страховании;

- новые страховые продукты;

- особенности страхования во время пандемии;

- страхование кредитных рисков;

- нюансы страхования кибер-рисков;

- полисы D&O как защита интересов руководителей компании, страхователя, акционеров, третьих лиц;

- страхование экспедитора, особенности и нюансы;

- урегулирование сложных страховых случаев, нюансы и особенности, как заставить страховую компанию выплатить адекватное страховое возмещение.

Справки о конференции по тлф.: +7-916-601-0202, заявки на регистрацию направляйте на This email address is being protected from spambots. You need JavaScript enabled to view it. (фио, компания,корпоративный электронный адрес, должность, телефон для смс).

Источник: Клуб Страховых Конференций

В период с 21 по 25 июня состоялось очередное Пленарное заседание ФАТФ под председательством доктора Маркуса Плейера из Германии. В связи с продолжающейся пандемией COVID-19 делегаты, представляющие 205 членов Глобальной сети и организаций-наблюдателей, таких как МВФ, Организация Объединенных Наций и Всемирный банк, встретились онлайн. Во всей глобальной сети ФАТФ страны и юрисдикции продолжают решать проблемы, связанные с пандемией. Многие страны все еще занимаются экстренным реагированием на этот беспрецедентный кризис в области здравоохранения, в то время как другие страны постепенно выходят из ограничений, связанных с пандемией. Впереди еще много задач для обеспечения того, чтобы каждая страна восстановилась. Хотя правительствам важно сосредоточиться на восстановлении своей экономики, они должны продолжать в полной мере и эффективно применять стандарты ФАТФ, основанные на оценке рисков, и прикладывать усилия, чтобы преступники и террористы не находили новых и появляющихся лазеек для злоупотребления.

Делегаты завершили работу в ряде важных областей. К ним относятся отчет, в котором подробно описываются финансовые потоки, связанные с экологическими преступлениями, и доклад о финансировании терроризма по этническим или расовым мотивам, оба приоритетны в рамках председательства Германии в ФАТФ. ФАТФ завершила второй 12-месячный обзор прогресса в рамках Глобальной сети ФАТФ по внедрению пересмотренных стандартов ФАТФ в отношении виртуальных активов и поставщиков услуг виртуальных активов (VASP). ФАТФ завершила подготовку двух докладов в рамках своего проекта по изучению проблем и возможностей технологических инноваций для повышения эффективности усилий по борьбе с отмыванием доходов и финансированием терроризма. ФАТФ также завершила подготовку отчета для государственных органов, в котором определены конкретные действия по улучшению результатов возвращения активов, которые помогут увеличить количество активов, возвращенных жертвам преступлений, и устранить факторы, способствующие преступной деятельности. Наконец, ФАТФ согласилась выпустить "белую книгу" для консультаций с общественностью по вопросам прозрачности и бенефициарного владения юридическими лицами в целях усиления мер, которые не позволят преступникам скрывать незаконную деятельность и доходы, что является глобальным приоритетом.

1. Стратегические инициативы

- Изучение возможностей и проблем цифровой трансформации ПОД/ФТ
- Виртуальные активы: второй 12-месячный анализ внедрения
- Отмывание доходов от экологических преступлений
- Финансирование терроризма по этническим или расовым мотивам
- Операционные проблемы, связанные с возвращением активов
- Усиление мер по противодействию финансированию распространения оружия массового уничтожения (новое руководство и пересмотренная пояснительная записка)
- Усиление стандартов ФАТФ в отношении бенефициарной собственности (консультации с общественностью)
- Снижение непреднамеренных последствий стандартов ФАТФ

2. Процессы, относящиеся к конкретным странам

- Взаимная оценка Японии и Южной Африки
- Юрисдикции, находящиеся под усиленным контролем
- Юрисдикция больше не находящаяся под усиленным контролем (Гана)
- Укрепление глобальной сети

1. Стратегические инициативы

Изучение возможностей и проблем цифровой трансформации ПОД/ФТ

Под председательством Германии ФАТФ запустила проект по изучению преимуществ, эффективности и экономии средств, которые могут предложить технологии, а также проблем, которые цифровая трансформация создает для ПОД/ФТ. На этом пленарном заседании ФАТФ завершила работу в двух областях и обсудила прогресс в использовании передовой аналитики и машинного обучения для выявления подозрительной деятельности по отмыванию доходов (ОД) и финансированию терроризма (ФТ), анализа финансовой информации и понимания рисков ОД/ФТ.

Возможности и проблемы новых технологий для ПОД/ФТ

Новые технологии могут повысить скорость, качество и эффективность мер по борьбе с отмыванием доходов и финансированием терроризма. Они могут помочь финансовым учреждениям и надзорным органам оценить эти риски более точно, своевременно и всесторонне. При внедрении ответственного и основанного на риске подхода новые технологии и инновационные продукты и услуги также могут улучшить доступность финансовых услуг, привлекая больше людей в регулируемую финансовую систему и тем самым повышая эффективность мер ПОД/ФТ. ФАТФ завершила подготовку отчета, в котором определены новые и доступные технологические решения. В докладе освещаются необходимые условия, политика и практика, которые должны быть созданы для успешного использования этих технологий для повышения эффективности и результативности ПОД/ФТ. В докладе также рассматриваются препятствия, которые могут встать на пути успешного внедрения новой технологии.

Подведение итогов по объединению данных, совместной аналитике и защите данных

Технологические достижения последних лет позволили финансовым учреждениям более эффективно анализировать большие объемы данных и более эффективно выявлять закономерности и тенденции. Объединение данных и совместная аналитика могут помочь финансовым учреждениям сотрудничать для лучшего понимания, оценки и снижения рисков отмывания доходов и финансирования терроризма. ФАТФ изучила инновационные технологии, которые облегчат и повысят эффективность выявления преступной деятельности, одновременно сократив количество ложных срабатываний и предотвратив использование преступниками информационных пробелов между финансовыми учреждениями.

В докладе также подчеркивается необходимость защиты данных и конфиденциальности, позволяя правительствам и учреждениям бороться с финансовыми преступлениями: ПОД/ФТ, конфиденциальность и защита данных являются важными общественными интересами, которые служат важным целям. Новые и появляющиеся технологии, повышающие конфиденциальность, предлагают многообещающие способы защиты информации в конкретных случаях использования и в соответствии с национальными и международными рамками защиты данных и конфиденциальности.

Виртуальные активы: второй 12-месячный анализ внедрения

На пленарном заседании был рассмотрен второй 12-месячный анализ внедрения пересмотренных стандартов ФАТФ в отношении виртуальных активов и VASP. В отчете отмечается, что многие юрисдикции продолжают добиваться прогресса в реализации этих изменений, которые будут завершены в 2022 году. До сих пор 58 из 128 юрисдикций, представивших отчеты, сообщили, что в настоящее время они внедрили пересмотренные стандарты ФАТФ, причем 52 из них регулируют VASP и шесть из них запрещают использование VASP. Частный сектор добился прогресса в разработке технологических решений, позволяющих внедрить "правило поездок". Однако большинство юрисдикций еще не выполнили требования ФАТФ, включая “правило о поездках”. Это сдерживает дальнейшие инвестиции в необходимые технологические решения и инфраструктуру соответствия требованиям. Эти пробелы в реализации также означают, что у нас еще нет глобальных гарантий для предотвращения неправомерного использования VASP для отмывания доходов или финансирования терроризма. Отсутствие регулирования или осуществления регулирования в юрисдикциях может привести к продолжению неправомерного использования виртуальных активов посредством юрисдикционного арбитража.

В докладе подчеркивается необходимость того, чтобы все юрисдикции, как можно скорее внедрили пересмотренные стандарты ФАТФ. В докладе также определены потенциальные будущие действия ФАТФ по предотвращению неправомерного использования виртуальных активов для преступной деятельности, в том числе путем уделения особого внимания действиям, направленным на снижение риска использования виртуальных активов, связанных с вымогательством. Отчет будет опубликован 5 июля. Пленарное заседание также согласилось завершить доработку пересмотренного руководства ФАТФ по виртуальным активам и VASP в октябре 2021 года. Это пересмотренное Руководство поможет юрисдикциям и частному сектору в приоритетном порядке внедрить пересмотренные стандарты.

Отмывание денег от экологических преступлений

Экологическая преступность является значительным преступным предприятием, приносящим миллиардную незаконную прибыль каждый год. Это включает незаконную добычу полезных ископаемых, незаконные лесозаготовки, незаконную расчистку земель и незаконный оборот отходов. Правительства и частный сектор предпринимали ограниченные действия по выявлению, расследованию и судебному преследованию отмывания доходов от этих преступлений. В результате экологические преступления превратились в деятельность “с низким риском и высоким вознаграждением”, которая обеспечивает безопасный источник дохода для преступников, нанося при этом разрушительный ущерб мировой экосистеме.

Основываясь на работе ФАТФ по борьбе с незаконной торговлей дикими животными, ФАТФ завершила подготовку доклада, который повышает осведомленность о масштабах и методах отмывания денег, связанных с экологическими преступлениями. В докладе подчеркивается, что преступники часто используют торговое мошенничество и подставные компании для отмывания доходов от экологических преступлений. Они часто смешивают легальные и нелегальные товары на ранних этапах изменения предложения, чтобы затруднить обнаружение подозрительных финансовых потоков.

В докладе подчеркивается необходимость того, чтобы уполномоченные органы по борьбе с отмыванием доходов сотрудничали со следователями по экологическим преступлениям, природоохранными агентствами и другими нетрадиционными партнерами и зарубежными коллегами.

Финансирование терроризма по этническим или расовым мотивам

ФАТФ завершила подготовку доклада о финансировании терроризма по этническим или расовым мотивам, также называемого крайне правым терроризмом (КПТ). В то время как большинство нападений КПТ были совершены самофинансируемыми одиночными субъектами, они также могут включать малые и средние организации, а также транснациональные крайне правые движения. В последние годы участились нападения крайне правых, что подчеркивает необходимость повышения осведомленности об этом сложном явлении и его финансировании. Хотя группы КПТ действительно получают финансирование от преступной деятельности, большая часть финансирования поступает из законных источников, таких как пожертвования, членские взносы и коммерческая деятельность. В докладе освещаются проблемы в решении проблемы финансирования КПТ и предотвращения нападений. Эти проблемы включают в себя то, как страны рассматривают угрозу, начиная от терроризма и заканчивая насилием на расовой почве. Немногие страны определили группы КПТ в качестве террористов, и существуют различия в правовых режимах стран для борьбы с деятельностью, связанной с КПТ. Группы КПТ становятся все более изощренными в том, как они перемещают и используют средства, и между этими группами усиливаются транснациональные связи. В докладе содержится призыв к странам продолжать развивать свое понимание этой все более транснациональной преступной деятельности, в том числе путем учета финансирования терроризма по этническим или расовым мотивам (ФТ ЭРМ) в своих национальных оценках рисков. Он также призывает государственных, частных и международных партнеров к совместной работе по выявлению угроз и обмену передовым опытом в борьбе с ФТ ЭРМ.

Операционные проблемы связанные с возвращением активов

Возвращение активов является одним из ключевых инструментов эффективных действий по борьбе с отмыванием доходов и финансированием терроризма. Изымая прибыль, власти устраняют стимулы, провоцирующие преступную деятельность. Возвращение активов компенсирует жертвам преступлений и не позволяет незаконным средствам попасть в финансовую систему и экономику в целом. Возвращение активов препятствует преступной деятельности, снижает опасность для общества и укрепляет доверие к справедливому обществу и верховенству закона. Хотя возвращение активов лежит в основе Рекомендаций ФАТФ, подавляющее большинство стран, в которых проводилась оценка, в текущем цикле взаимных оценок достигли лишь низкого или умеренного уровня эффективности в плане их способности конфисковывать доходы от преступлений. ФАТФ завершила подготовку доклада для государственных органов, в котором анализируются ключевые препятствия на пути возвращения активов и способы их преодоления.

Руководство по оценке и снижению рисков финансирования распространения

В октябре 2020 года ФАТФ пересмотрела свои Стандарты (R.1 и INR.1), чтобы потребовать от стран, финансовых учреждений и определённых нефинансовых предприятий и профессий (ОНФПП) выявлять, оценивать, понимать и снижать риски финансирования распространения.

В настоящее время ФАТФ подготовила руководство по оценке и снижению рисков финансирования распространения, чтобы помочь странам, финансовым учреждениям, ОНФПП и VASP эффективно выполнять новые обязательные требования ФАТФ. В руководстве, которое отражает результаты консультаций с общественностью в марте 2021 года, объясняется, как государственный, так и частный секторы должны проводить оценки рисков в контексте финансирования распространения, и как они могут снизить выявленные риски. Это руководство включает рекомендации для надзорных органов и органов саморегулирования, ответственных за обеспечение надлежащей оценки и снижения рисков финансирования распространения. В Руководстве подчеркивается необходимость того, чтобы надзорные органы, финансовые учреждения, ОНФПП и VASP применяли новые обязательства соразмерно выявленным рискам, чтобы избежать снижения риска или финансового исключения.

Усиление мер по предотвращению финансирования распространения оружия массового уничтожения

ФАТФ в настоящее время обновила Пояснительную записку к Рекомендации 15, чтобы уточнить, что новые обязательства по оценке и смягчению рисков финансирования распространения также распространяются на VASP. Как и финансовые учреждения и ОНФПП, VASP теперь должны выявлять, оценивать и принимать меры для снижения рисков финансирования распространения.

Усиление стандартов ФАТФ в отношении бенефициарной собственности - консультации с общественностью

Прозрачность в отношении истинного бенефициарного владения компаниями имеет решающее значение для того, чтобы преступники не скрывали свою незаконную деятельность и доходы за сложными корпоративными структурами. Подставные компании используются для сокрытия преступной деятельности от правоохранительных органов, включая экологические преступления и коррупцию. Повышение прозрачности бенефициарной собственности стоит на повестке дня ФАТФ с 2003 года, когда она представила первые глобальные стандарты по этому вопросу. Однако, как показали взаимные оценки ФАТФ и крупные расследования, страны по-прежнему делают недостаточно для обеспечения доступности и актуальности информации о бенефициарных владельцах, а также для предотвращения злоупотреблений структурами компаний со стороны преступников.

Ранее в этом месяце министры стран G7 признали эту проблему и указали на эффективность реестров бенефициарных владельцев в качестве инструмента для ее решения, поскольку они договорились внедрить и укрепить свои собственные национальные реестры информации о бенефициарных владельцах компаний.

ФАТФ рассматривает поправки для усиления Рекомендации 24 о прозрачности и бенефициарной собственности юридических лиц, включая многосторонний подход к обеспечению доступности информации о бенефициарной собственности для компетентных органов, а также более строгие меры по управлению рисками юридических лиц и более строгий контроль за акциями на предъявителя и номинальными владельцами. ФАТФ выпускает белую книгу для консультаций с общественностью и приветствует вклад всех заинтересованных сторон, включая компании и других юридических лиц, финансовые учреждения, определенные нефинансовые предприятия и профессии (ОНФПП), а также некоммерческие организации к 27 августа 2021 года.

Снижение непреднамеренных последствий стандартов ФАТФ

В феврале этого года ФАТФ запустила проект по изучению и снижению непредвиденных последствий, возникающих в результате неправильного применения стандартов ФАТФ. ФАТФ обсудила отчет о результатах инвентаризации, в котором рассматриваются вопросы снижения рисков, финансовой доступности, необоснованного преследования некоммерческих организаций и ограничения прав человека. Теперь в рамках проекта будут определены возможные варианты снижения этих непредвиденных последствий.

2. Процессы, относящиеся к конкретным странам

Взаимная оценка Японии и Южной Африки

На заседании обсудили совместную оценку ФАТФ и Группы по борьбе с отмыванием денег в Восточной и Южной Африке мер Южной Африки по борьбе с отмыванием доходов и финансированием терроризма на виртуальной сессии. Пленарная сессия пришла к выводу, что Южная Африка располагает прочной правовой базой для борьбы с отмыванием доходов и финансированием терроризма, однако по-прежнему сохраняются значительные недостатки. В частности, стране необходимо бороться с отмыванием доходов и финансированием терроризма в соответствии с ее профилем рисков, в том числе путем активного поиска международного сотрудничества, выявления и пресечения незаконных денежных потоков и улучшения доступности информации о бенефициарных владельцах. Властям необходимо более эффективно использовать финансовую информацию, предоставляемую подразделением финансовой разведки Южной Африки. Стране также следует улучшить применение подхода, основанного на учете рисков, уполномоченными организациями и надзорными органами. Оценку проводил Международный валютный фонд.

ФАТФ также обсудила совместную оценку ФАТФ и Азиатско-Тихоокеанской группы по борьбе с отмыванием доходов (АТГ) мер Японии по борьбе с отмыванием доходов и финансированием терроризма. Пленарное заседание пришло к выводу, что меры Японии по борьбе с отмыванием доходов и финансированием терроризма приносят результаты. Япония продемонстрировала хорошие результаты в понимании, выявлении и оценке своих рисков отмывания доходов и финансирования терроризма, в сборе и использовании финансовой информации и в сотрудничестве со своими международными партнерами. Однако стране необходимо уделять приоритетное внимание усилиям в определенных областях, включая надзор и превентивные меры со стороны финансовых учреждений и определенных нефинансовых предприятий и профессий, предотвращение неправомерного использования юридических лиц и механизмов, а также расследование и судебное преследование отмывания доходов и финансирования терроризма.

Юрисдикции, находящиеся под усиленным контролем

Юрисдикции, находящиеся под усиленным контролем, активно сотрудничают с ФАТФ в устранении стратегических недостатков в своих системах борьбы с отмыванием доходов, финансированием терроризма и финансированием распространения. Когда ФАТФ ставит юрисдикцию под усиленный контроль, это означает, что страна взяла на себя обязательство быстро устранить выявленные стратегические недостатки в согласованные сроки и подвергается дополнительным проверкам. В соответствии с гибкими процедурами, принятыми в феврале 2021 года, чтобы позволить ФАТФ продолжить свою программу мониторинга в свете пандемии COVID-19, ФАТФ обновила свои заявления для рассматриваемых стран.

- Новые юрисдикции, подлежащие усиленному мониторингу: Гаити, Мальта, Филиппины и Южный Судан
- Юрисдикции, находящиеся под усиленным контролем
- Юрисдикции с высоким уровнем риска, подлежащие призыву к действию (без изменений с февраля 2020 года)

Юрисдикция больше не находящаяся под усиленным контролем – Гана

ФАТФ поздравила Гану со значительным прогрессом, достигнутым ею в устранении стратегических недостатков в области ПОД/ФТ, выявленных ранее ФАТФ и включенных в ее план действий. Гана больше не будет подпадать под усиленный процесс мониторинга ФАТФ. Это произошло после того, как Гана получила «выезд на место», несмотря на кризис COVID-19. Гана будет сотрудничать с GIABA, членом которой она является, для дальнейшего укрепления своей системы ПОД/ФТ.

Укрепление глобальной сети

Меры по борьбе с отмыванием доходов и финансированием терроризма эффективны только в том случае, если они осуществляются на глобальном уровне. Региональные партнеры ФАТФ, региональные органы в стиле ФАТФ (FSRB), играют решающую роль в содействии полному и эффективному внедрению Стандартов ФАТФ в рамках своих членов и оценке того, что их соответствующие члены предприняли необходимые действия.

Члены ФАТФ активизировали свою поддержку, чтобы помочь FSRB продвигать свои наработки с помощью своевременных и высококачественных отчетов, несмотря на нынешний контекст COVID-19, который усугубил существующие проблемы. Делегации ФАТФ отметили, что растущая поддержка будет оказываться более приоритетным FSRB, и приветствовали эту позитивную тенденцию. Они согласовали направления, которые могли бы помочь обеспечить более эффективную поддержку при условии выделения дополнительных ресурсов на эти мероприятия или перераспределения текущих ресурсов из других проектов ФАТФ.

Источник: FATF-GAFI.ORG