На сайте Всемирного экономического форума (ВЭФ) появился отчёт, в котором эксперт по безопасности и независимый партнер Форума Тэд Харрингтон провел анализ текущего состояния развития подразделений в компаниях, занимающихся вопросами кибербезопасности и в частности, безопасности блокчейн-сетей.
Эксперт выделил три основных направления, по которым необходимо изучать проблему:
- Кибербезопасность – это не просто техническая проблема, это – путь для достижения превосходства компаний на конкурентном рынке;
- Появление уязвимостей – это не только результат высокого уровня квалификации хакеров, но и следствие ошибок разработчиков;
- Действия хакеров приводят не только к взлому блокчейна, но и к развитию технологии.
В отчете отмечается, что большинство регистрируемых в последнее время взломов данных не были результатом только высокого уровня мастерства хакеров. Они произошли еще и потому, что не были своевременно приняты в компаниях соответствующие меры безопасности.
Кроме того, эксперт ВЭФ утверждает, что хотя злоумышленники часто пытаются скомпрометировать данные, размещенные в блокчейне, гораздо чаще они ставят пред собой другую задачу – поставить под угрозу само развертывание сети.
«Заголовки новостей заставляют нас поверить, что основные нарушения, о которых мы читаем почти каждый день, являются результатом чрезвычайно умелых хакеров, использующих экзотические, неизвестные уязвимости для достижения своих коварных целей. В некоторой степени это можно отнести к правде, но это – лишь малая часть общей проблемы», – утверждает эксперт ВЭФ.
1. Кибербезопасность – это не просто техническая проблема, это метод для достижения превосходства
Автор отчета ссылается на исследование аналитика по кибербезопасности Брайана Кребса. Он провел исследование среди 100 ведущих в мире компаний и выяснил, что только 5% из них имеют должность руководителя по кибербезопасности. Это во многом объясняет огромное количество взломов и утечек данных, которые происходят в последнее время даже в самых известных компаниях.
Эксперт ВЭФ делает вывод: пристальное внимание к вопросам кибербезопасности – это сегодня не просто акцент на решение определенного класса технических задач, это – путь для завоевания лидерства на рынке и достижения превосходства над конкурентами.
В качестве примера эксперт ВЭФ приводит инцидент, связанный с утечкой данных в розничном гиганте Target. Это привело к увольнению генерального директора компании и директора по информационным технологиям. Упоминаются даже случаи, когда были вынуждены подать заявление на отставку директор Управления по управлению персоналом правительства США и сопредседатель Sony Pictures Entertainment. Эти инциденты произошли из-за того, что соответствующие руководители не рассматривали кибербезопасность как одно из приоритетных для себя направлений, поэтому они не обеспечили должного контроля.
Основная рекомендация МЭФ для блокчейн-компаний сегодня звучит так: необходимо ввести в компании отдельную должность, обладатель которой будет уполномочен принимать необходимые меры в случае инцидентов. На них следует назначать компетентного человека.
Самые крупные утечки данных в XXI в. Источник: ВЭФ
2. Появление программных уязвимостей – это не только результат высокого уровня мастерства хакеров, но и следствие ошибок разработчиков
Эксперт ВЭФ обращает внимание, что с появлением блокчейна на арену вышли новые технологии атаки, о которых раньше не упоминали.
Например, называется «атака 51%», когда атакующий перехватывает управление при достижении консенсуса в сети и может менять ход голосований в процессе подтверждения новых записей, действуя в собственных интересах.
Автор рекомендует: 1) постоянно наращивать экспертизу привлекаемой группы разработчиков; 2) учитывать важность любых инцидентов, связанных с кибербезопасностью. Только в этом случае можно обеспечить надежную защиту компаний.
3. Действия хакеров приводят не только к взлому блокчейна, но и к развитию технологии
Хотя злоумышленники пытаются скомпрометировать данные, размещенные в блокчейне – и во многих случаях им удается достичь поставленной цели, они все чаще ставят перед собой цель – скомпрометировать сам процесс развертывания блокчейн-сети. Часто они опираются на человеческий фактор, когда по невнимательности или незнанию удается внедрить уязвимости в проекты, и даже внести искажения в работу систем.
Чтобы избежать этих проблем, эксперт ВЭФ рекомендует:
- выстраивать заранее модель угроз;
- привлекать талантливых разработчиков к решению задач, связанных с кибербезопаностью,
- развивать партнерские связи с независимыми экспертами.