Τα μέτρα ασφάλειας της φύλαξης σε πλατφόρμες ψηφιακών περιουσιακών στοιχείων αποτελούν τεράστιο ζήτημα ανησυχίας τα τελευταία χρόνια, και δικαίως.

Αυτές τις μέρες, οι μεγάλης κλίμακας παραβιάσεις ανταλλαγής κρυπτονομισμάτων είναι σχετικά σπάνιες. Ωστόσο, όπως πρόσφατα και πριν, οι ανταλλαγές hacks ήταν σχεδόν συνηθισμένες. Το 2018, 875 εκατομμύρια δολάρια είχαν κλαπεί σε έξι μεγάλες εισβολές. Το 2019, 282 εκατομμύρια δολάρια κλέφθηκαν σε 11 αμυχές.

Ενώ το έτος δεν έχει τελειώσει ακόμα, τα δεδομένα που συλλέχθηκαν από το IDEX δείχνουν ότι υπήρξαν μόνο πέντε μεγάλες παραβιάσεις ανταλλαγής το 2020, με πολύ λιγότερη κρυπτογράφηση συνολικά να έχει κλαπεί από το 2018.

Επομένως, φαίνεται πιθανό οι ανταλλαγές κρυπτονομισμάτων να έχουν βελτιώσει αρκετά τα μέτρα ασφαλείας τους, ώστε οι παραβιάσεις να μην συμβαίνουν τόσο συχνά, και όταν συμβαίνουν, να είναι λιγότερο κερδοφόρες.

Αυτή η μετατόπιση από τις αμυχές ανταλλαγής κρυπτογράφησης φαίνεται ότι οδήγησε τους εγκληματίες στον χώρο κρυπτογράφησης να εξερευνήσουν άλλες μεθόδους κλοπής. Για παράδειγμα, η Finance Magnates ανέφερε πρόσφατα μια φαινομενική αύξηση των κοινωνικών μηχανισμών κρυπτογράφησης.

Ωστόσο, ενώ η εισβολή σε καταστήματα κρυπτογράφησης ενός χρηματιστηρίου μπορεί να έχει γίνει πιο δύσκολη για τους χάκερ, υπάρχει ένας άλλος τομέας ενδιαφέροντος στον οποίο οι χάκερ φαίνεται να συνεχίζουν να έχουν τακτική πρόσβαση σε: προσωπικά δεδομένα.

  • Τα μέτρα ασφάλειας προσωπικών δεδομένων «σχεδόν σίγουρα» δεν συμβαδίζουν με τα μέτρα ασφαλείας που εφαρμόζονται για την φύλαξη των κρυπτογραφικών στοιχείων

Σε τελική ανάλυση, ο αυξημένος αριθμός απαιτήσεων γνώσης-πελάτη (KYC) και κατά της νομιμοποίησης εσόδων από παράνομες δραστηριότητες (AML) που υπάρχουν στα χρηματιστήρια κρυπτογράφησης έχουν μετατρέψει τις ανταλλαγές κρυπτογράφησης και άλλες πλατφόρμες που σχετίζονται με την κρυπτογράφηση σε πραγματικά ορυχεία χρυσού για δεδομένα.

Ενώ τα μέτρα ασφαλείας για την προστασία των περιουσιακών στοιχείων σε ανταλλαγές κρυπτονομισμάτων φαίνεται να βελτιώνονται, δεν είναι σαφές εάν τα μέτρα ασφαλείας των προσωπικών δεδομένων διατηρούνται στο ίδιο επίπεδο.

Ο Mark Hornsby, επικεφαλής τεχνολογίας της εταιρείας κρυπτογράφησης Trustology, δήλωσε στο Finance Magnates ότι τα μέτρα ασφάλειας προσωπικών δεδομένων σε πλατφόρμες κρυπτογράφησης «σχεδόν σίγουρα» δεν συμβαδίζουν με τα μέτρα ασφαλείας που εφαρμόζονται για την φύλαξη των κρυπτονομικών περιουσιακών στοιχείων.

Τον περασμένο μήνα, η εταιρεία πορτοφολιών κρυπτογράφησης Ledger αποκάλυψε ότι μια παραβίαση δεδομένων είχε αποκαλύψει περίπου ένα εκατομμύριο από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών της, καθώς και προσωπικές πληροφορίες για 9.500 από τους πελάτες της.

“Είμαστε βομβαρδισμένοι καθημερινά με ειδήσεις για ακόμη μια παραβίαση δεδομένων και υφίσταται σοβαρό ενδεχόμενο να εμπλακούν σε μία τέτοια (παραβίαση) όσοι έχουν σημαντική παρουσία στο διαδίκτυο”, εξήγησε ο Hornsby. “Ωστόσο, αυτό δεν είναι ένα μοναδικό πρόβλημα στη βιομηχανία κρυπτογράφησης.”

Γιατί συμβαίνει αυτό?

“Η προστασία των δεδομένων χρήστη από την επίθεση είναι πιο δύσκολη, επειδή η επιφάνεια της επίθεσης είναι πολύ μεγαλύτερη.”

Ο Jacob Yocom-Piatt, συνιδρυτής & επικεφαλής του έργου για το δίκτυο κρυπτογράφησης Decred, δήλωσε στο Finance Magnates ότι μέρος του ζητήματος είναι ότι η προστασία των προσωπικών δεδομένων είναι μια πολύ πιο περίπλοκη διαδικασία από την προστασία των ψηφιακών στοιχείων.

Jake Yocom-Piatt, συνιδρυτής & Υπεύθυνος έργου για το Decred.org.

 

  • “Η προστασία των ψηφιακών στοιχείων του κομιστή είναι θέμα προστασίας ενός πολύ μικρού όγκου πληροφοριών: των ιδιωτικών σας κλειδιών”, είπε, προσθέτοντας ότι “υπάρχουν πολλά εργαλεία για να το κάνετε αυτό, π.χ. πορτοφόλια υλικού”.

Ωστόσο,

  • «η προστασία των δεδομένων χρήστη από την επίθεση είναι πιο δύσκολη, επειδή η επιφάνεια της επίθεσης είναι πολύ μεγαλύτερη. Υπάρχουν πολλές ποσότητες προσωπικών στοιχείων αναγνώρισης (PII) που πρέπει να προστατευτούν, αλλά αυτά τα δεδομένα πρέπει ταυτόχρονα να είναι διαθέσιμα για έλεγχο από το προσωπικό.»

Μέρος του προβλήματος θα μπορούσε επίσης να είναι ότι για πολλές ανταλλαγές κρυπτονομισμάτων, ο χειρισμός δεδομένων AML και KYC είναι ένα νέο σύνολο ευθυνών. Πολλές πλατφόρμες έχουν υιοθετήσει τις απαιτήσεις KYC και AML όχι λόγω της δικής τους επιλογής, αλλά επειδή τους έχουν ζητηθεί από τις ρυθμιστικές αρχές.

Υπάρχουν, φυσικά, ορισμένα μέτρα.

Για παράδειγμα, ένα άρθρο της Proton Technologies AG εξήγησε ότι ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR), ο οποίος αποσκοπούσε στην αύξηση της διαφάνειας γύρω από τη συλλογή δεδομένων και την προστασία για τους πολίτες της ΕΕ, είναι «μεγάλος, εκτεταμένος και αρκετά ελαφρύς σε συγκεκριμένα θέματα, καθιστώντας τη συμμόρφωση του GDPR μια τρομακτική προοπτική, ιδίως για τις μικρομεσαίες επιχειρήσεις (ΜΜΕ).»

Αυτή η «έλλειψη λεπτομερειών» θα μπορούσε να συμβάλει στη σύγχυση σχετικά με τη συμμόρφωση και, ως εκ τούτου, θα μπορούσε επίσης να συμβάλει στη γενική έλλειψη ασφάλειας των δεδομένων.

Πράγματι, ο Μάθιου Ντάιλι, Διευθύνων Σύμβουλος της Tiger Financial, δήλωσε στο Finance Magnates ότι

  • «τα πρότυπα ασφάλειας όπως το GDPR εξακολουθούν να είναι άχρηστα εντός της ΕΕ. Κανείς δεν είχε ιδέα πώς θα έπρεπε να εφαρμοστεί όταν ανακοινώθηκε για πρώτη φορά και φαίνεται να ισχύει σήμερα.»

Μάθιου Ντάιλι, Διευθύνων Σύμβουλος της Tiger Financial.

Οι προτεραιότητες της εταιρείας μπορούν να διαδραματίσουν μεγάλο ρόλο

Αυτή η ρυθμιστική ασάφεια σχετικά με την προστασία προσωπικών δεδομένων δεν αποτελεί απαραίτητα πρόβλημα για κάθε πλατφόρμα κρυπτογράφησης. Στην πραγματικότητα, ορισμένοι έχουν λάβει την αμφισημία ως ένδειξη για να καθιερωθούν ως ηγέτες της βιομηχανίας όσον αφορά την επεξεργασία και την προστασία των προσωπικών δεδομένων.

Από την άλλη πλευρά, ωστόσο, η έλλειψη ειδικών ρυθμίσεων επέτρεψε σε πλατφόρμες με έλλειψη προτεραιοτήτων γύρω από την προστασία δεδομένων πελατών να αφήσουν τα δεδομένα ευάλωτα.

Ως εκ τούτου, ο Drew Porter, Πρόεδρος και Ιδρυτής της Red Mesa, είπε στo Finance Magnates ότι οι χρήστες πλατφορμών κρυπτογράφησης θα πρέπει γενικά να θεωρούν ότι τα δεδομένα που παρέχουν σε αυτές τις πλατφόρμες είναι ευάλωτα στην έκθεση.
Ο Drew είπε ότι ενώ οι λόγοι αυτής της ευπάθειας «μπορεί να διαφέρουν από έργο σε έργο», η κύρια αιτία μπορεί να είναι θέμα προτεραιοτήτων.

  • «Αυτά τα έργα επικεντρώνονται σε χαρακτηριστικά και επεκτασιμότητα και όχι τόσο στην ασφάλεια», είπε, προσθέτοντας ότι πηγές στη βιομηχανία έχουν πει ότι «η ασφάλεια και η ιδιωτικότητα είναι μια σκέψη για πολλούς, καθώς στα μάτια πολλών είναι το να κερδίζεις χρήματα».

Ένα πολύπλευρο πρόβλημα απαιτεί μια πολύπλευρη λύση

Επομένως, οι λόγοι πίσω από το φαινομενικά υψηλό επίπεδο ευπάθειας φαίνεται να προέρχονται από τουλάχιστον δύο διαφορετικά σημεία πόνου: την πολυπλοκότητα της συλλογής και της επεξεργασίας δεδομένων, καθώς και την έλλειψη σαφώς επιβεβλημένων κανονισμών σχετικά με τον τρόπο προστασίας των προσωπικών δεδομένων.

Ο Mark Hornsby της Trustology εξήγησε στο Finance Magnates ότι, επομένως, η λύση στο πρόβλημα είναι πολύπλευρη.

Για να αντιμετωπίσουν την πολυπλοκότητα της επεξεργασίας και της αποθήκευσης πολλών τμημάτων ευαίσθητων προσωπικών δεδομένων, οι πλατφόρμες κρυπτογράφησης πρέπει να αξιολογήσουν ποια κομμάτια πληροφοριών είναι απαραίτητα και ποια όχι: «πρώτον, οι εταιρείες πρέπει πάντα να επικεντρώνονται στην ελαχιστοποίηση δεδομένων», δήλωσε ο Hornsby.

Επιπλέον, τα δεδομένα που πρέπει να αποστέλλονται ή να διατηρούνται από εταιρείες «θα πρέπει πάντα να κρυπτογραφούνται, τόσο σε διαμετακόμιση όσο και σε κατάσταση ηρεμίας», είπε, προσθέτοντας ότι «εάν χρειάζεται μόνο να κάνετε συγκρίσεις ισότητας, τότε η χρήση μιας προσαρμοστικής λειτουργίας κατακερματισμού είναι ιδανικός τρόπος για να αποφευχθεί η ανάκτηση των δεδομένων.»

Ένα άλλο μέρος της λύσης στο πρόβλημα ασφάλειας δεδομένων της βιομηχανίας είναι η καλύτερη επικοινωνία μεταξύ πλατφορμών για βέλτιστες πρακτικές. Αυτό θα μπορούσε ενδεχομένως να λειτουργήσει ως θεραπεία κατά των ασαφών κανονισμών για την προστασία των δεδομένων.

Μετά από όλα, υπήρξαν πολλά παραδείγματα οντοτήτων κρυπτογράφησης αυτοδιακυβέρνησης που συνεργάζονται για να δημιουργήσουν βιομηχανικά πρότυπα όταν οι ρυθμιστές υστερούσαν, όπως CryptoUK και Japan Blockchain Association.

  • «Η βιομηχανία πρέπει να συνεργαστεί για να διασφαλίσει ότι η βέλτιστη πρακτική είναι τεκμηριωμένη και άμεσα διαθέσιμη», δήλωσε ο Mark Hornsby της Trustology. «Με την ανταλλαγή γνώσεων και κώδικα μπορούμε να μειώσουμε την πιθανότητα και τον αντίκτυπο ενός συμβάν παραβίασης δεδομένων».

Πέρα από την πλευρά των πραγμάτων, ωστόσο, οι χρήστες πρέπει επίσης να είναι προσεκτικοί όταν πρόκειται να αναθέσουν τα δεδομένα τους σε πλατφόρμες κρυπτογράφησης.

Mark Hornsby, επικεφαλής τεχνολογίας της Trustology.

Ο Mark Hornsby είπε ότι πράγματι, η εκπαίδευση των χρηστών σχετικά με την ασφάλεια της προσωπικής ταυτότητας μπορεί να είναι το πιο σημαντικό κομμάτι του ζητήματος ασφάλειας δεδομένων.

  • «Οι χρήστες πρέπει να ενθαρρύνονται να υιοθετούν καλή συμπεριφορά κωδικού πρόσβασης», είπε, κάτι που θα μπορούσε να σημαίνει «χρήση ενός διαχειριστή κωδικών πρόσβασης και ενός μοναδικού κωδικού πρόσβασης που δημιουργείται τυχαία ανά ιστότοπο / εφαρμογή, επιτρέποντας πάντα τον έλεγχο ταυτότητας 2 παραγόντων (2FA) και να εξετάσουμε ποια κομμάτια δεδομένα (και πόσο) μοιράζονται με οποιαδήποτε δεδομένη υπηρεσία.»

Οι χρήστες θα πρέπει επίσης να ερευνήσουν τις εταιρείες στις οποίες αναθέτουν τα δεδομένα τους για να δουν εάν υπήρξαν προηγούμενα συμβάντα σχετικά με την κλοπή δεδομένων. Πρέπει να εξετάζουν κριτικές, ειδήσεις και εγγυήσεις για την αποθήκευση των κρυπτονομισμάτων τους.

Αυτό σημαίνει ότι ορισμένες υπηρεσίες μπορεί να είναι πιο απαιτητικές και ακριβότερες από άλλες, αλλά θα ήταν προτιμότερο ο χρήστης να ξέρει ότι η κρυπτογράφηση του είναι ασφαλής και όχι να περάσει αμέτρητες ώρες προσπαθώντας να διεκδικήσει αυτό που ήταν σωστά δικό του για να ξεκινήσει.

Στο τέλος της ημέρας, ωστόσο, θα υπάρχει πάντα κάποιο επίπεδο κινδύνου που σχετίζεται με την ανάθεση δεδομένων σε κεντρικό τρίτο μέρος. Επομένως, εκτός εάν ένας χρήστης είναι πρόθυμος να χρησιμοποιήσει αποκλειστικά αποκεντρωμένες πλατφόρμες, τα προσωπικά δεδομένα διατρέχουν πάντα τον κίνδυνο έκθεσης.

  • «Οι χρήστες δεν μπορούν ποτέ να είναι σίγουροι ότι τα προσωπικά τους δεδομένα προστατεύονται σωστά από τις πλατφόρμες που επιλέγουν να χρησιμοποιήσουν», δήλωσε ο Jacob Yocom-Piatt του Decred στο Finance Magnates. «Επιτρέποντας σε κάποιον να διατηρήσει τα δεδομένα σας, είτε πρόκειται για ιδιωτικά κλειδιά είτε για PII, διατρέχετε πάντα τον κίνδυνο να παραβιαστεί και να χάσετε τον έλεγχο των δεδομένων σας από αυτό το αξιόπιστο τρίτο μέρος.»