Displaying items by tag: ЦФА

2 апреля 2024 года в журнале Информационная безопасность (в разделе Технологии) были опубликованы материалы круглого стола, в котором принял участие Александра Подобных, главы департамента расследований BitOK, руководителя Санкт-Петербургского РО АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт, на тему — Блокчейн в России: взгляд сквозь призму практики.

Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный. Эксперты с практическим опытом в области блокчейнов ответили на вопросы журнала «Информационная безопасность».

Участники:

Артем Калихов, генеральный директор Web3 Tech

Владимир Лазарев, со-основатель АМЛ Крипто

Александр Подобных, глава департамента расследований BitOK

Михаил Чеканов, генеральный директор АО «Промышленные криптосистемы»

Востребованы ли в России решения на основе блокчейнов, но не связанные с криптовалютами и цифровыми финансовыми активами?

Михаил Чеканов, Промышленные криптосистемы:

Безусловно, востребованы. На российском рынке представлены разные отраслевые решения, работающие на технологии распределенного реестра. Пример – наша платформа "Контрактиум" для управления цепочками поставок на базе цифровых контрактов с возможностью подключения финансовых и логистических сервисов.

Самым знаковым проектом для нас стала платформа Smart Fuel, спроектированная и разработанная в интересах компании "Газпром нефть". Решение переводит в цифру все операции, связанные с заправкой самолетов, от согласования цен и заказов до формирования отчетов в ФНС и взаиморасчетов через традиционную банковскую инфраструктуру.

Владимир Лазарев, АМЛ Крипто:

В России наблюдается высокий интерес к блокчейн-решениям. Технологии распределенного реестра применяются в различных сферах для повышения прозрачности, безопасности и эффективности бизнес-процессов. Особенно перспективными являются проекты, использующие смарт-контракты и NFT для надежного хранения данных и автоматизации действий.

Развитие этих технологий поддерживается как крупными предприятиями, так и государственными структурами, активно исследующими возможности блокчейна для оптимизации своих процессов. Мы в AML Crypto используем блокчейн для записи данных о результате проверки пользователем того или иного блокчейн-адреса. Это позволяет доказать факт должной осмотрительности при работе с внешними контрагентами.

Артем Калихов, Web3 Tech:

Да, востребованы. Ряд наших крупных блокчейн-проектов вообще не связан с ЦФА. Например, цифровая платформа распределенного реестра ФНС эффективно реализует взаимодействие государственных ведомств и финансовых организаций.

Федеральная блокчейн-платформа ДЭГ 2020 г. успешно используется избирателями по всей стране в единые дни голосования. Растет интерес к решениям для реорганизации трансграничных платежей, благодаря блокчейну здесь возможно множество вариантов реализации.

Александр Подобных, BitOK:

Да. Например, сервис ЕДРИД (Единый депозитарий результатов интеллектуальной деятельности), который работает уже более шести лет и позволяет оформить авторское право.

В онлайн-сервисе писатели, программисты, дизайнеры, фотографы, музыканты и ученые могут защитить свое авторское произведение (разместить на хранение электронную версию произведения) и получить документ в виде бумажного авторского свидетельства с несколькими степенями защиты.

В чем основные практические преимущества решений на основе блокчейна по сравнению с традиционной архитектурой?

Артем Калихов, Web3 Tech:

1. Блокчейн обеспечивает неизменность данных за счет своей архитектуры без необходимости дополнительных средств защиты.

2. В отличие от централизованной инфраструктуры, в рамках экосистемных проектов стоимость интеграции новых участников не растет экспоненциально.

3. Будучи распределенной системой, блокчейн обеспечивает отказоустойчивость, недоступную централизованным решениям.

4. Благодаря смарт-контрактам блокчейн позволяет просто автоматизировать различные договорные и транзакционные процессы.

Александр Подобных, BitOK:

1. Надежная защита на уровне криптографии (депонирование в электронном депозитарии подтверждает существование в определенный момент времени произведения при помощи цифровой подписи, электронного штампа времени и хеш-кода депонирования).

2. Быстрый и оптимальный по стоимости способ фиксации объекта прав (первым в мире реализовал способ фиксации времени депонирования авторского произведения в распределенном реестре).

3. Быстрый поиск аналогов по российским и иностранным базам при регистрации объекта авторских прав (и дальнейшая защита в соответствии с российским и международным законодательством).

4. К примеру, регистрация одного произведения заняла у меня один час и стоила 1200 руб. На следующий день уже поступило свидетельство на электронную почту (в Роспатенте рассматривают 2–3 месяца и стоит 25 тыс. руб.).

Михаил Чеканов, Промышленные криптосистемы: 

1. Математически гарантированное доверие к результатам совместной работы без необходимости в централизованном сервисе (базе данных). Традиционный же подход подразумевает наличие посредника, который всегда создает риски для других участников рынка.

2. Затраты на внедрение и сопровождение сопоставимы c традиционными решениями, а возможности развития и скорость реакции на изменения на основе блокчейна – гораздо выше.

3. Катастрофоустойчивость и доступность. Распределенная архитектура обеспечивает бесперебойное обслуживание сделок, главное, чтобы контрагенты были доступны. То есть каждый участник сам обеспечивает нужный ему SLA.

Владимир Лазарев, АМЛ Крипто:

Блокчейн обеспечивает прозрачность за счет неизменяемости записей, доступных всем участникам. Это усиливает безопасность, защищая данные криптографией и снижая риск мошенничества. Снижение затрат достигается за счет автоматизации и исключения посредников. Блокчейн повышает эффективность, ускоряя транзакции и процессы. Децентрализация снижает риски коррупции, увеличивая доверие.

Но важно отметить, что:

- преимущества блокчейна не всегда реализуются автоматически;

- для достижения желаемых результатов требуется тщательное планирование и реализация;

- блокчейн не является универсальным решением и подходит не для всех задач.

Есть ли технологические особенности реализации систем на основе блокчейна в России?

Владимир Лазарев, АМЛ Крипто:

В России реализация блокчейн-систем имеет свои технологические особенности: строгие нормативные требования, необходимость интеграции с устаревшими системами, высокие стандарты кибербезопасности на фоне геополитической ситуации, политика импортозамещения требует отечественных ИТ-разработок.

Ключевыми факторами являются: кадровый дефицит в области блокчейна, ограничения на использование криптовалют, требования к масштабируемости и энергоэффективности, а также необходимость обеспечения конфиденциальности данных. Кроме того, важно учитывать юридические аспекты, связанные с новизной технологии. При тщательном планировании и реализации блокчейн может стать мощным инструментом для развития различных сфер российской экономики.

Артем Калихов, Web3 Tech:

Технологические особенности реализации блокчейн-систем в России связаны в первую очередь с регуляторной политикой в отношении средств криптографии. Для информационных систем здесь предусмотрен список ГОСТов, охватывающий множество направлений – хеширование, контроль целостности и не только.

Этим требованиям пока соответствуют лишь единичные решения на рынке, в том числе наша платформа "Конфидент", имеющая сертификацию средства криптографической защиты информации КС2.

Александр Подобных, BitOK:

Если говорить об операторах выпуска или обмена ЦФА (регулирует деятельность которых Банк России), то, скорее всего, речь будет идти о приватных (частных) блокчейнах. А так как для финансового сектора есть жесткие требования по защите информации, то потребуется и отечественная криптография.

Михаил Чеканов, Промышленные криптосистемы:

Отечественный рынок выдвигает два основных требования:

- обеспечение юридической значимости операций;

- надлежащая защита данных.

Одним из критичных факторов для большинства заказчиков на нашем рынке является поддержка сертифицированных СКЗИ. Это связано с выросшим уровнем угроз ИБ и ужесточением государственного регулирования. В нашем случае эта задача решена путем встраивания сертифицированных средств криптозащиты линейки ViPNet.

Какие технологические возможности стоит учесть в российских системах, с учетом опыта криптовалютных блокчейнов, каких ошибок лучше избежать?

Артем Калихов, Web3 Tech:

Стоит отметить, что в подавляющем большинстве российских проектов используются приватные блокчейны, а не публичные протоколы, применяющиеся для криптовалют. Они обладают другой моделью безопасности. Особое внимание, как правило, стоит уделять безопасности смарт-контрактов, архитектуре блокчейн-решений, криптографии, защищенности и конфиденциальности данных.

Михаил Чеканов, Промышленные криптосистемы:

Лучшее решение – это избегать одноранговых платформ, выросших из криптовалютных блокчейнов. Они плохо интегрируются с реальным ИТ-ландшафтом, инфраструктурой безопасности и здравым смыслом.

Александр Подобных, BitOK:

Многие проекты в нашей стране начинались из открытых проектов или путем создания форков (новых веток). Важно купировать выявленные за это время уязвимости и учитывать наработки сообщества по совершенствованию алгоритмов этих блокчейнов.

Необходимо соблюдать баланс между уровнем децентрализации и анонимностью. Не нужно забывать про формирование единой экосистемы и унификацию блокчейнов и смарт-контрактов, обращать внимание на формирование инновационной культуры и спроса на инновационную деятельность.

Владимир Лазарев, АМЛ Крипто:

При разработке блокчейнсистем в России стоит учесть опыт криптовалютных блокчейнов, особенно в вопросах масштабируемости, конфиденциальности и регулирования. Важно выбирать технологии, обеспечивающие высокую пропускную способность и анонимность транзакций и при этом соответствующие законодательству.

Необходимо обеспечить безопасность и прозрачность, а также гладкую интеграцию с существующими системами, придерживаясь при этом законодательных требований. Для успешной реализации проекта критически важно избегать таких ошибок, как выбор неподходящей платформы, недооценка сложности проектов, пренебрежение безопасностью, неготовность к изменениям и игнорирование регулятивных требований.

Как применение блокчейнов увязывается с текущим законодательством?

Александр Подобных, BitOK:

В сфере ЦФА важны локализация и суверенитет. Так, операторы должны использовать продукты из реестра отечественного ПО, российскую криптографию и иметь лицензию ЦБ РФ. На практике мы видим скорее применение частных (но иностранных) блокчейнов с достаточно надежным шифрованием, соответствующим международным стандартам защищенности.

Если говорить о перспективах развития 115-ФЗ и его оптимизации, то необходимо создание единого оператора по KYC/AML, который будет хранить информацию о клиентах и рисках во внутреннем блокчейне (и предоставлять доступ операторам ЦФА и банкам, для которых процедуры слишком ресурсоемки). На сегодняшний день техническая возможность для этого уже есть.

Артем Калихов, Web3 Tech: 

Формально использование самих блокчейн-технологий в нашей стране не регулируется. Тем не менее требования законодательства затрагивают целый ряд технологий, необходимых для практического применения блокчейна, – криптографические алгоритмы, TLS, PKI, и не только.

Блокчейн-платформам необходима гибкость, в некотором смысле даже модульность, которая позволит подстраиваться под регуляторные политики – как для ИТ-отрасли в целом, так и для отдельных сфер применения, например для финансового сектора.

Михаил Чеканов, Промышленные криптосистемы:

Грамотно спроектированные прикладные решения на базе распределенных реестров хорошо вписываются в действующее законодательство. На данный момент мы не видим каких-либо непреодолимых барьеров. Отдельные нормы можно было бы оптимизировать, но лучшее – враг хорошего.

Например, ФЗ-259 "О ЦФА" зарегулировал рынок цифровых активов до абсурда. До сих пор непонятно, зачем в нем упомянуты распределенные реестры, если все функции привязаны к централизованной информационной системе оператора (обмена) ЦФА. Примерно с таким же успехом можно было бы "завернуть" Интернет в отдельного оператора связи.

Владимир Лазарев, АМЛ Крипто:

Законодательство может стимулировать развитие блокчейн-технологий и их применение. Но в то же время несвоевременные или недоработанные законы замедляют прогресс.

Эффективное внедрение блокчейн-технологий требует гибких регуляторных рамок, создания множества пилотных зон для стимулирования экспериментов в этой области.

Источник: Информационная безопасность

Коллеги, 27 марта текущего года, на ЛитРес вышла наша первая методичка для силовиков, экспертов, специалистов и регуляторов - Цифровая криминалистика распределённых реестров.

Упор сделан на блокчейн Биткойна и сопутствующие технологии, но и коснулись других виртуальных валют и цифровых финансовых активов. В приложении описан примерный алгоритм исследования криптоадресов и транзакций в блокчейнах.

Основные разделы:

- термины и определения

- история появления биткоина

- как работает блокчейн Bitcoin

- криптовалюта как высокорисковый ресурс

- майнинг-пулы

- криптокошельки

- сервисы аналитики рынка цифровых активов

- судебная практика в РФ

- заключение и перспективы развития

Методические рекомендации внесены в особый реестр, что позволяет использовать их в судебно-экспертной и научно-исследовательской деятельности.

Спешите приобрести и поддержать дальнейшие исследования отечественных ученых, по данному направлению ;)

Читать: на ЛитРес

25 июля 2023 года, вышел 3-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - LinkingLion: операция по деанонимизации биткоина (в разделе Технологии \ Криптография).

Анонимность является одной из ключевых особенностей и привлекательных характеристик биткоина, которая способствует его популярности среди пользователей, и особенно среди тех, кто ценит конфиденциальность своих финансовых операций. Однако в начале 2023 г. исследователи обнаружили серьезную угрозу анонимности участников сети биткоина со стороны объекта, названного LinkingLion.

Что такое мемпул?

Под мемпулом (Mempool) в криптосфере понимается хранилище неподтвержденных транзакций в сети блокчейна. Когда пользователь отправляет транзакцию с использованием криптовалюты, она сначала попадает в мемпул, очередь транзакций, которые еще не были включены в блок и не получили подтверждения майнерами или участниками сети.

Участники сети могут просматривать мемпул и выбирать транзакции для включения в новый блок на основе различных факторов, таких как размер комиссии, приоритетность транзакции и других предпочтений.

Размер мемпула может колебаться в зависимости от активности сети и объема отправляемых транзакций. В периоды высокой активности сети мемпул может становиться полностью заполненным, что приводит к увеличению времени подтверждения транзакций или повышению комиссий для более быстрого включения.

Мемпул играет важную роль в обеспечении функционирования блокчейна и подтверждения транзакций. Отслеживание состояния мемпула может быть полезным для пользователей, которые хотят оптимизировать время подтверждения своих транзакций или выбрать подходящую комиссию для быстрого включения в блок.

Что же случилось?

В марте 2023 г. эксперт под псевдонимом b10c опубликовал исследование под названием LinkingLion, посвященное анализу поведения фальшивых узлов. Он обнаружил в блокчейн-сетях "Биткоин" и "Монеро" некий объект, собирающий информацию о транзакциях при их попадании в мемпул.

Конечно, это может быть проявлением работы некоей исследовательской компании, занимающейся анализом блокчейна для улучшения своих продуктов. Но автор предполагает, что это кампания по деанонимизации пользователей. Исследуемый объект ведет себя так: открывает соединения со многими биткоин-узлами, используя четыре диапазона IP-адресов, и прослушивает анонсированные транзакции, потенциально соотнося новые широковещательные транзакции с IP-адресами узлов.

Используемыми диапазонами пользуются четыре компании: Fork Networking, Castle VPN, Linama, Data Canopy, а все диапазоны относятся к провайдеру LionLink Networks. Поэтому автор для созвучия назвал исследуемый объект LinkingLion, а затем высказал гипотезу, что LinkingLion пытается связать все выявленные транзакции с IP-адресами, то есть речь идет о попытке деанонимизации участников.

Не ясно, управляется ли описанный в исследовании объект LinkingLion единым человеком, группой лиц или организацией. Но соединения используют общие шаблоны для различных диапазонов IP-адресов. Кроме того, все диапазоны используют одни и те же поддельные данные о пользовательских агентах, то есть, скорее всего, используется одно программное обеспечение. Конечно, это лишь косвенное подтверждение того, что за подключениями стоит одна организация.

Далее исследователь обратил внимание на то, что один из диапазонов IP-адресов принадлежит компании под названием Castle VPN, что наводит на мысль, что LinkingLion открывает соединения через VPN-сервис. Другие диапазоны IP-адресов также можно было бы использовать в качестве конечных точек VPN, что объяснило бы, почему несколько конфигураций программного обеспечения используют одни и те же адреса. Однако и эта теория пока остается неподтвержденной.

Какая информация доступна LinkingLion?

Информация, которую получает LinkingLion, может быть вычленена из метаданных, сведений по инвентаризации и адресам. Вообще, любое соединение может получить метаданные узла, с которым оно устанавливается, включая:

- информацию о доступности узла;

- версию используемого программного обеспечения;

- параметры блокчейн-транзакций, предпочитаемые узлом;

- список услуг, предоставляемых узлом.

Временная информация, то есть когда узел объявляет о своем присутствии или обновлении инвентарных сведений, особенно актуальна для последующего анализа. Поскольку LinkingLion подключается ко многим прослушивающимся узлам, он может использовать набор получаемых сведений для привязки широковещательных транзакций к IP-адресам, а значит, потенциально и к пользователям.

Около 2% подключений со стороны объекта LinkingLion также просят узел отправить им адреса других узлов сети. Объект, вероятно, использует их для поиска новых адресатов для подключения и увеличения доли охваченных узлов, а также может попытаться распознать топологию сети, отслеживая ретрансляцию транзакций.

Остается загадкой, зачем LinkingLion открывает несколько кратковременных подключений к одному узлу из нескольких диапазонов IP-адресов. Всю информацию можно было бы извлечь и без многократного открытия и закрытия соединений, не привлекая внимания исследователей. Впрочем, это вполне можно списать на ошибки в логике работы самого LinkingLion.

Автор исследования впервые лично наблюдал действия LinkingLion летом 2022 г., однако объект был активен дольше. Отрывочные сведения, ретроспективно обнаруживаемые в некоторых отчетах в Интернете, свидетельствуют, что операции LinkingLion проводились как минимум с начала 2018 г.

Кто стоит за LinkingLion?

Большинство P2P-аномалий, происходящих с открытой сетью биткоина, исходят от частных лиц или компаний, преследующих либо академические цели, либо корыстные (например, продажа собранных данных другим компаниям и правоохранительным органам).

В случае с LinkingLion академический интерес кажется маловероятным: вряд ли обычный исследователь будет финансировать такую масштабную операцию в течение нескольких лет, ведь диапазоны IP-адресов и серверы стоят немалых денег. К тому же академические эксперименты обычно более локализованы по времени, да и опубликованных по итогам статей пока найти не удалось.

Коммерческим компаниям есть смысл платить за инфраструктуру, если они смогут выгодно продать собранные данные или улучшить с их помощью свой продукт в сфере блокчейна. Так что вариант, когда за LinkingLion стоит некая организация, выглядит более правдоподобным.

Что же делать?

Первоочередной мерой противодействия может стать ручная блокировка диапазонов IP-адресов, используемых LinkingLion, то есть запрет для них входящих подключений к узлам.

Однако это действие не решает проблему полностью, ведь LinkingLion может легко переключиться на новые диапазоны IP-адресов. Основная опасность заключается в том, что по итогам сбора информации со стороны LinkingLion может быть установлена высоковероятная связь транзакций и IP-адресов. Чтобы этого не допустить, потребуются изменения в логике первоначальной трансляции и ретрансляции транзакций в сети биткоина и в ядре Bitcoin Core.

Технологическим решением может стать технология Dandelion, например Dandelion++ или какая-либо из ее модификаций. Dandelion (англ., одуванчик) – это протокол передачи транзакций в сети блокчейна с целью повышения анонимности и защиты приватности пользователей. Он был разработан в 2017 г. для биткоин-сети, хотя может быть реализован и в других блокчейнах.

Основная идея Dandelion заключается в том, чтобы затруднить определение источника транзакции в сети блокчейна, что может повысить уровень анонимности для отправителей транзакций. По умолчанию, когда транзакция создается, она отправляется на первый узел в сети и начинает свой путь к остальным узлам через прямой маршрут. Это как раз и может делать возможным отслеживание источника транзакции.

Протокол Dandelion модифицирует этот процесс: вместо прямой передачи транзакция отправляется на случайно выбранный узел, который называется "стебель" (Stem Phase). Этот узел удерживает транзакцию на некоторое время и затем, после искусственной временной задержки, передает ее дальше группой узлов вместе, образуя так называемые "колосья" (Fluff Phase). Таким образом, точное место отправителя транзакции становится труднее обнаружить.

Dandelion++ используется в блокчейн-сети Monero с 2020 г. Попытка аналогичного внедрения в Bitcoin Core так и не увенчалась успехом, в первую очередь из-за сложности и проблем с DoS.

Заключение

Гипотезы и выводы, приведенные в исследовании, выглядят вполне обоснованными как с технической точки зрения, так и с точки зрения общей картины развития криптосферы. За последние пять лет на рынке анализа блокчейн-транзакций появилось много новых игроков, в том числе и очень крупных.

В СМИ то и дело появляются новости об очередном выигранном госконтракте или получении дополнительных инвестиций, исчисляемых уже десятками и сотнями миллионов долларов. Причем если анализом биткоина, эфириума и их форков занимаются многие компании, то, к примеру, на деанонимизацию и анализ технологии Monero выделялись прямые исследовательские гранты на сотни миллионов долларов.

Зная также о государственно-частном партнерстве американской компании Chainalysis с ФБР и другими ведомствами, а также доступных сведениях о существовании модуля интеграции с системой аналитики Palantir (используют спецслужбы, инвестиционные банки, хедж-фонды), можно предположить, что такой глобальный сбор IP-адресов необходим, как вариант, для массового выявления субъектов с высоким уровнем риска (по AML/CFT) и преступников.

Недавно, в 2023 г., один из игроков в блокчейн-аналитике анонсировал применение ИИ для сквозной блокчейн-аналитики между различными блокчейнами и токенами. По-видимому, похожие работы уже ведутся в нашей стране. А значит, не исключено появление новых исследовательских объектов, подобных LinkingLion.

Источник: Информационная безопасность

31 мая 2023 года, вышел 2-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - Страхование рисков в криптосфере: защита цифровых активов и обеспечение безопасности (в разделе Технологии \ Криптография).

Страхование в криптосфере должно быть важным инструментом для повышения доверия и привлечения новых участников в индустрию блокчейна и криптовалют. Однако стоит отметить, что во всем мире криптострахование все еще находится в стадии развития и покрытие и условия могут различаться в зависимости от страховой компании и регулирования в конкретной юрисдикции. В российской криптосфере такая практика практически отсутствует. Это связано с очень высоким уровнем риска и тем, что эти вопросы контролирует ЦБ России, который вряд ли пропустит программу страхования в столь неопределенной области, ведь полноценного регулирования в данном направлении еще нет. Попробуем определить контуры возможного рынка страховых услуг в криптосфере.

Пока в России есть общее страхование киберрисков, в том числе и для участников финансового рынка. Например, для финансового сектора сегодня определены договор киберстрахования и его составляющие, страховой тариф и премия страхователя, участники страхового рынка, андеррайтинг и инвестирование, страховые события, отличие страхования киберрисков от иного, страховые продукты рынка, учет особенностей банкострахования. Вероятно, с развитием обращения и хранения различных цифровых финансовых активов процедуры будут спроецированы и актуализированы под этот сегмент.

Страховая защита от кибератак покрывает ущерб от перерывов в деятельности, расходы на восстановление системы, расходы на восстановление и дешифровку данных (включая стоимость необходимого ПО), расходы на минимизацию последствий и расследование причин киберпреступления.

Но страхование в криптосфере, известное также как криптострахование или страхование цифровых активов, представляет собой процесс обеспечения защиты от потерь и рисков, связанных именно с криптовалютами, блокчейнами и другими ЦФА. Его цель – снижение финансовых рисков и обеспечение безопасности для держателей криптовалюты и участников криптовалютных платформ.

Страховые компании, специализирующиеся на криптостраховании, разрабатывают полисы и условия страхования, учитывая особенности цифровых активов и индустрии блокчейна. Они проводят анализ рисков, оценку безопасности платформ и используют технологии, такие как мультиподпись и холодное хранение (Cold Storage), для обеспечения безопасности активов.

В области блокчейна страхование может быть направлено на аспекты, связанные с самой технологией, – смарт-контракты, цифровые идентификаторы, децентрализованные приложения и другие инновационные решения. Страхование в области криптовалют, с другой стороны, фокусируется на безопасности и управлении рисками, связанными с хранением, передачей и использованием криптовалютных активов.

Основные риски в криптосфере

Криптовалюты и технология блокчейн, несомненно, являются технологически инновационным направлением и предоставляют множество потенциальных преимуществ и инноваций. Однако есть и специфичные риски, которые необходимо учитывать при работе именно в криптосфере. Рассмотрим основные риски, связанные с этой областью.

Кибербезопасность

Как и любая ИТ-инфраструктура, криптосфера подвержена угрозам кибербезопасности, таким как целевые атаки, фишинг, мошенничество и кражи. Злоумышленники могут нацелиться на цифровые кошельки, централизованные криптобиржи или смарт-контракты, чтобы получить несанкционированный доступ к цифровым активам. Уязвимости в программном обеспечении и слабые меры безопасности могут стать причиной утраты средств или компрометации конфиденциальных данных.

Регуляторные риски

Криптовалюты и блокчейн подвержены регуляторным рискам, связанным с возможными изменениями законодательства, политическими решениями и государственными регуляторными действиями. Изменения в правовом регулировании могут повлиять на легальность и использование криптовалют, а также на требования к деятельности криптобирж и других участников криптосферы.

К тому же отсутствует единое международное или национальное регулирование криптосферы. Это создает неопределенность и риски для участников, так как их правовой статус может оказаться неопределенным, а защита прав потребителей может быть недостаточной. Отсутствие достаточных регуляторных механизмов может способствовать возникновению мошенничества и неэтичного поведения в криптосфере.

Технические риски

Технические сбои или ошибки в блокчейне или смарт-контрактах могут привести к потере средств или нарушению целостности данных. Несовершенство кода и недостатки в разработке программного обеспечения могут привести к уязвимостям и возможности злоумышленников вмешаться в работу системы.

Виды криптострахования

В зависимости от объекта, для которого могут реализоваться те или иные риски, в криптосфере выделяют несколько типов страхования, которые предназначены для обеспечения безопасности и защиты участников.

Каждый из этих видов страхования в криптосфере разрабатывается с учетом специфических рисков и потребностей участников. Они направлены на снижение финансовых рисков и обеспечение безопасности в криптосфере, способствуя повышению доверия и стимулированию дальнейшего развития данной области.

1. Страхование хранилища криптовалют предоставляет защиту от утраты или кражи цифровых активов, которые хранятся в цифровых кошельках или хранилищах. Это покрытие может включать кражу средств в результате хакерских атак, утрату личных ключей или ошибочные операции. Страховая компания возмещает финансовые потери, связанные с такими событиями.

2. Страхование транзакций криптовалют предполагает защиту от потерь, связанных с неправильными или мошенническими транзакциями. В эти случаи включаются ошибочные переводы, фишинговые атаки или мошенничество при совершении сделок с цифровыми активами. Страхование транзакций помогает восстановить средства или компенсировать потери, понесенные в результате таких событий.

3. Страхование криптобирж предназначено для обеспечения защиты пользователей и криптобирж от таких угроз, как хакерские атаки, кражи средств, а также и от недобросовестного поведения со стороны самих бирж. К этому типу относится и защита средств клиентов, хранящихся на бирже, возможность компенсации потерь, понесенных пользователями в результате инцидентов, связанных с безопасностью.

4. Страхование смарт-контрактов предлагает защиту от возможных ошибок или уязвимостей в смарт-контрактах, которые могут привести к потере средств или неправильному исполнению условий контракта. Страхование смарт-контрактов может предоставить возможность компенсации потерь, возникших в результате ошибочных смарт-контрактов или взломов.

ГОСТ Р 59516–2021

Нельзя не упомянуть о действующем в России стандарте от 30.11.2021 г. ГОСТ Р 59516–20211 "Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности". Он был разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27102:2019 "Менеджмент информационной безопасности. Рекомендации по страхованию киберрисков" (ISO/IEC 27102:2019 Information security management – Guidelines for cyberinsurance).

Стандарт предписывает в целях ослабления последствий, возникающих в результате инцидентов ИБ, в дополнение к принятым в соответствии с ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002 организационным и техническим мерам обеспечения ИБ, внедрять страхование рисков ИБ как один из инструментов управления киберрисками.

Страхование рисков ИБ не рассматривается как альтернатива эффективной системе менеджмента информационной безопасности информации (СМИБ) и не может исключить необходимость разработки планов реагирования на инциденты ИБ, создания системы обучения персонала и принятия других организационных и технических мер по защите информационных активов. Страхование рисков ИБ следует рассматривать как важный компонент СМИБ для противодействия угрозам ИБ и повышения устойчивости бизнеса.

Данный стандарт ссылается и на действующие версии ГОСТ Р ИСО/МЭК 27001 (требования к системам менеджмента ИБ), 27002 (нормы и правила менеджмента ИБ), 27003 (реализация системы менеджмента ИБ), 27004 (измерения при менеджменте ИБ), 27005 (менеджмент риска ИБ).

Вызовы криптострахования

Криптосфера относительно молода, и исторических данных о страховых случаях и рисках накоплено существенно меньше, чем в традиционном страховании. Конечно же, это создает дополнительные сложности для страховых компаний в оценке рисков и определении страховых премий.

К тому же криптовалюты характеризуются высокой волатильностью и неопределенностью, что, в свою очередь, еще больше усложняет прогнозирование рисков и оценку потенциальных убытков.

Как уже отмечалось, криптосфера весьма подвержена угрозам кибербезопасности, включая хакерские атаки и последующие утечки данных. Поэтому успешное страхование криптосферы в дополнение к классическим методам защиты потребует разработки и внедрения специфических инструментов для мониторинга и реагирования, чтобы справиться с растущими киберугрозами.

В связи с уникальными особенностями блокчейн-технологии, страхование в области блокчейна может требовать дополнительной экспертизы и понимания технических аспектов для эффективной оценки рисков и разработки страховых продуктов. Страхование в области криптовалют также требует понимания криптографических принципов и методов хранения и передачи криптовалют.

И конечно же, сфера криптовалют сталкивается с разнообразными регуляторными и правовыми вопросами. Некоторые юрисдикции еще разрабатывают законы и политику, регулирующие криптовалюты и блокчейн. Необходимость соблюдения различных нормативных требований и соответствие законодательству может быть сложной задачей для страховых компаний.

Заключение

Роль страховых компаний в криптосфере состоит в обеспечении безопасности и защите участников от финансовых рисков, связанных с криптовалютами и блокчейном. Они играют важную роль в развитии и стабилизации данной отрасли, создавая доверие и обеспечивая компенсацию при возникновении нежелательных событий.

Криптострахование в России имеет потенциал для того, чтобы стать важным элементом криптосферы, обеспечивая безопасность, доверие и стабильность в этой инновационной области. Однако для его полного развития необходимо преодолеть первичную неопределенность.

Безусловно, самой действенной страховкой являются надежные системы защиты и сопутствующие превентивные меры, но иметь полис на всякий случай не помешает.

Источник: Информационная безопасность

Клуб Страховых Конференций приглашает принять участие в конференции Российское корпоративное страхование и урегулирование убытков, которая состоится 14 февраля 2022 года в AZIMUT Hotel Olympic Moscow. 

Вот некоторые из тем презентаций конференции:

- формирование и выбор страхового покрытия, как заставить страховые компании предложить справедливую страховую премию за риски;

- управление рисками и страхование, как единая система, обеспечивающая достижения бизнес-целей;

- Digital решения в страховании;

- новые страховые продукты;

- особенности страхования во время пандемии;

- страхование кредитных рисков;

- нюансы страхования кибер-рисков;

- полисы D&O как защита интересов руководителей компании, страхователя, акционеров, третьих лиц;

- страхование экспедитора, особенности и нюансы;

- урегулирование сложных страховых случаев, нюансы и особенности, как заставить страховую компанию выплатить адекватное страховое возмещение.

Справки о конференции по тлф.: +7-916-601-0202, заявки на регистрацию направляйте на This email address is being protected from spambots. You need JavaScript enabled to view it. (фио, компания,корпоративный электронный адрес, должность, телефон для смс).

Источник: Клуб Страховых Конференций

Эксперт платформы КОСАтка Наталья Мануйлова в качестве спикера примет участие в мероприятии: "Вопросы правового регулирования обращения цифровых финансовых активов в России и Швейцарии". Передовой опыт швейцарской финансовой системы, трансграничное правовое регулирование и комплаенс в сфере криптоактивов, а также риски и налоговые последствия для российских клиентов при совершении сделок в этой сфере.

Московская ТПП приглашает обсудить на организованной ими онлайн-конференции, 9 декабря 2021 года с 16:00 до 18:00 (Москва), 14:00-16:00 (Цюрих) на платформе ZOOM, среди спикеров:

- Марк Дамбахер, Генеральный директор InСore Bank (Швейцария);

- Филипп Майер, Руководитель подразделения крипто и цифровых активов Gazprombank Switzerland (Швейцария);

- Екатерина Энтони, Finvestech GmbH, член Совета директоров Crypto Valley Association (Швейцария);

- Дмитрий Кириллов, адвокат, юридическая фирма Lidings (Россия).

Мероприятие бесплатное, при условии предварительной регистрации. Пройдет на русском и английском языках с синхронным переводом. 

Партнеры мероприятия:

- Crypto Valley Association - самая влиятельная негосударственная организация по внедрению блокчейн-инноваций и регулированию крипто-рынка в Швейцарии.

- RU TALKS - ведущий деловой клуб России.

Источник: https://mostpp.info/crypto_sw_rf