A BitLicense de Nova York pode evitar outra catástrofe no Monte Gox?

A divulgação das regulamentações comerciais propostas de moeda digital pelo Departamento de Serviços Financeiros de Nova York (NYDFS) levantou inúmeras questões, muitas das quais se concentram na ameaça à inovação no espaço e no impacto na adoção mais ampla. No entanto, uma questão que pode valer a pena considerar é esta: essas regulamentações impedirão outra catástrofe do Mt. Gox?

Embora T se possa dizer que qualquer esquema regulatório seja 100% bem-sucedido na eliminação de maus atores ou empresas mal administradas, as regras proposto pelo NYDFSparecem ser um passo na direção certa ao impor requisitos rigorosos de segurança cibernética. Isso inclui testes de penetração obrigatórios anualmente para plataformas de moeda digital e a nomeação obrigatória de um diretor de segurança da informação por uma empresa que busca receber uma 'BitLicense'.

Conforme descrito na proposta:

“Cada Licenciado deverá estabelecer e manter um programa de segurança cibernética eficaz para garantir a disponibilidade e a funcionalidade dos sistemas eletrônicos do Licenciado e para proteger esses sistemas e quaisquer dados confidenciais armazenados nesses sistemas contra acesso, uso ou adulteração não autorizados.”

Evitar ataques à infraestrutura crítica – e carteiras contendo fundos de clientes, mais importante – é o principal objetivo dessas regulamentações. Além disso, o NYDFS está exigindo a criação de políticas de emergência no caso de um negócio de moeda digital passar por um incidente catastrófico.

Foco amplo em segurança cibernética

Os regulamentos tentam não deixar pedra sobre pedra em termos dos tipos de ameaças cibernéticas que um negócio de moeda digital pode enfrentar. As empresas são obrigadas a avaliar ativamente as ameaças e manter sistemas robustos que podem repelir os tipos de ataques que resultaram na falência do Mt. Gox e na perda de milhões de dólares em fundos de clientes.

O NYDFS está propondo exigir que cada empresa de moeda digital institua políticas abrangentes de segurança cibernética que cubram quaisquer vulnerabilidades potenciais. Especificamente, a liderança de cada empresa é obrigada a certificar, pelo menos anualmente, que tal Política foi seguida com sucesso, e a fazer alterações quando necessário.

Em termos de relatórios, o NYDFS exigirá que cada empresa forneça provas de que seus sistemas de segurança interna são suficientes para a tarefa. Cada licenciado deve enviar relatórios anuais ao regulador estadual que descrevam com precisão a funcionalidade e a capacidade dos sistemas de segurança.

A auditoria interna também é necessária em várias frentes importantes, incluindo testes de penetração para descobrir e retificar fraquezas. O teste de penetração é necessário pelo menos uma vez por ano, junto com avaliações trimestrais que certificam a força contínua desses sistemas.

As empresas de moeda digital também são obrigadas a manter trilhas de auditoria claras que incluem dados de transações, planilhas de horas de login de usuários e registros de acesso ao hardware da empresa.

Ainda não se sabe se esse nível de escrutínio terá um impacto negativo nos negócios de moeda digital no estado.

Como alguns na indústria Bitcoincomentaram, requisitos rigorosos de relatórios impõem custos desnecessários que são mais prejudiciais para startups do que para empresas estabelecidas. Por outro lado, outros dizem que, no caso da Mt. Gox, uma supervisão mais robusta pode ter evitado os erros que resultaram em seu colapso.

Liderança em segurança é um requisito

Para manter e atualizar as políticas de segurança cibernética propostas que cada licenciado criará, o NYDFS é obrigado a nomear um diretor de segurança da informação (CISO).

Este aspecto dos regulamentos aborda uma das críticas feitas à Mt. Gox – que papéis claros de liderança não foram definidos, permitindo os tipos de lapsos que resultaram em ampla vulnerabilidade. ONE pode argumentar que, ao atuar como engenheiro-chefe e também como chefe da gestão diária, o CEO Mark Karpeles não foi capaz de se concentrar o suficiente nas ameaças cibernéticas que acabaram derrubando a bolsa.

Conforme consta no regulamento:

“Cada licenciado deverá designar um funcionário qualificado para atuar como Diretor de Segurança da Informação (“CISO”) do licenciado, responsável por supervisionar e implementar o programa de segurança cibernética do licenciado e aplicar sua Política de segurança cibernética.”

Esta posição tem como objetivo supervisionar os esforços de segurança digital e facilitar o reporte ao regulador estadual, conforme necessário. O CISO se reportará à liderança sênior da empresa de moeda digital, elaborando a estrutura de segurança e fazendo alterações quando necessário.

Cenários de pior caso

Mas o que acontece quando uma empresa de moeda digital desmorona? Na esteira das revelações de que a Mt. Gox havia perdido fundos de clientes, a exchange se viu paralisada e incapaz de funcionar. Pode-se argumentar que o fato de a empresa não ter uma Política clara de gerenciamento de desastres exacerbou os problemas resultantes tanto do hack quanto da resposta subsequente.

Os licenciados devem estabelecer procedimentos operacionais para entrar em vigor caso um evento catastrófico torne a empresa incapaz de funcionar. Isso inclui identificar funções críticas, infraestrutura e pessoal que assumirá o controle se a falha do negócio se tornar uma possibilidade. Os destinatários do BitLicense também devem fornecer treinamento abrangente a todo o pessoal relevante que se envolveria durante o gerenciamento de desastres.

Além disso, as empresas são obrigadas a relatar quaisquer incidentes que possam representar um risco à integridade operacional. A proposta diz:

“Cada Licenciado deverá notificar prontamente o superintendente sobre qualquer emergência ou outra interrupção em suas operações que possa afetar sua capacidade de cumprir obrigações regulatórias ou que possa ter um efeito adverso significativo sobre o Licenciado, suas contrapartes ou o mercado.”

Combinados, esses requisitos são projetados para KEEP um negócio de moeda digital funcionando caso surjam problemas repentinos. Embora não testada – por enquanto – a proposta visa contornar interrupções críticas que, nesse caso, deixariam os clientes ainda mais vulneráveis ​​a perdas.

O tempo dirá

Por enquanto, é impossível julgar se a proposta da BitLicense ajudará a desviar ameaças cibernéticas e proteger os consumidores de situações de emergência como as encontradas pela Mt. Gox. Assim como as leis que regem a gestão de falências bancárias, as regulamentações T podem ser verdadeiramente testadas até que uma situação real surja.

No entanto, de acordo com o Superintendente do NYDFSBenjamin M Lawsky, que se sentou para uma entrevista comCNBCsobre a proposta, os tipos de regulamentações que ele está propondo devem ser instituídos em todo o sistema financeiro mais amplo. Ele reiterou seu apoio às regulamentações e disse que bancos e outras empresas financeiras precisam intensificar seus próprios esforços para evitar hacks desestabilizadores.

Na entrevista, Lawsky foi questionado se o NYDFS teria sido capaz de prevenir ou pelo menos conter uma situação do tipo Mt. Gox, ou qualquer situação em que um ataque sustentado colocasse fundos de clientes em risco. Ele respondeu que as propostas de segurança cibernética teriam sido úteis, mas sugeriu que o sistema financeiro mais amplo sofre dos mesmos tipos de fraquezas.

Ele disse:

“Vamos entrar e testar a prontidão de segurança cibernética dessas empresas em Nova York, para garantir que elas estejam fazendo tudo o que podem para evitar esse tipo de ataque de hackers. Olha, você poderia dizer isso sobre todo o nosso setor bancário também. Deveríamos fazer isso sobre todos.”

Estátua da Liberdadeimagem viaShutterstock