Чи може нью-йоркська BitLicense запобігти ще одній катастрофі Mt.Gox?

Публікація Департаментом фінансових послуг Нью-Йорка (NYDFS) запропонованих положень про бізнес у сфері цифрових валют викликала численні запитання, багато з яких зосереджені на загрозі інноваціям у космосі та впливі на ширше впровадження. І все ж варто розглянути ONE питання: чи зупинять ці правила ще одну катастрофу на горі Гокс?

Хоча T можна сказати, що будь-яка регуляторна схема на 100% успішна у відсіванні зловмисників або погано керованого бізнесу, правила запропонований NYDFS видається кроком у правильному напрямку, оскільки введення суворих вимог щодо кібербезпеки. Вони включають обов’язкові щорічні випробування проникнення для платформ цифрової валюти та обов’язкове призначення керівника інформаційної безпеки компанією, яка прагне отримати «BitLicense».

Як зазначено в пропозиції:

«Кожен Ліцензіат повинен створити та підтримувати ефективну програму кібербезпеки, щоб забезпечити доступність і функціональність електронних систем Ліцензіата та захистити ці системи та будь-які конфіденційні дані, що зберігаються в цих системах, від несанкціонованого доступу, використання або втручання».

Запобігання нападам на критично важливу інфраструктуру – і гаманці, що містять кошти клієнтів, головне – є головною метою цих правил. Крім того, NYDFS вимагає створення надзвичайних правил на випадок катастрофічного інциденту з бізнесом цифрової валюти.

Широкий фокус на кібербезпеці

Правила намагаються не залишити каменя на камені з точки зору типів кіберзагроз, з якими може зіткнутися бізнес цифрових валют. Від компаній вимагається активно оцінювати загрози та підтримувати надійні системи, здатні відбивати різного роду атаки, які призвели до збою Mt.Gox і втрати мільйонів доларів коштів клієнтів.

NYDFS пропонує зобов’язати кожну компанію, що займається цифровими валютами, запровадити комплексну політику кібербезпеки, яка охоплює будь-які потенційні вразливості. Зокрема, керівництво кожної компанії зобов’язане принаймні раз на рік засвідчувати, що така Політика успішно дотримується, і за необхідності вносити зміни.

Що стосується звітності, то NYDFS вимагатиме від кожної компанії підтвердження того, що її внутрішні системи безпеки відповідають поставленим завданням. Кожен ліцензіат повинен подавати державному регулятору щорічні звіти, які точно описують функціональність і можливості систем безпеки.

Внутрішній аудит також необхідний на низці ключових фронтів, включаючи тести на проникнення для виявлення та усунення слабких місць. Тестування на проникнення потрібно проводити принаймні раз на рік разом із щоквартальними оцінками, які засвідчують постійну міцність цих систем.

Підприємства, які займаються цифровою валютою, також зобов’язані підтримувати чіткі журнали аудиту, які включають дані транзакцій, табелі реєстрації користувачів і журнали доступу до апаратного забезпечення компанії.

Чи матиме цей рівень контролю негативний вплив на бізнес цифрових валют у штаті, ще належить побачити.

як деякі в індустрії Bitcoin зазначили, що суворі вимоги до звітності спричиняють непотрібні витрати, які є більш шкідливими для стартапів, ніж для відомих компаній. З іншого боку, інші кажуть, що у випадку з горою Гокс більш ретельний нагляд міг запобігти помилкам, які призвели до її краху.

Обов’язкова вимога до керівництва безпекою

Щоб підтримувати та оновлювати запропоновану політику кібербезпеки, яку створить кожен ліцензіат, NYDFS має право призначити головного спеціаліста з інформаційної безпеки (CISO).

У цьому аспекті правил розглядається ONE з критик, висунутих на адресу Mt. Gox, а саме те, що не було визначено чітких керівних ролей, що допускало певні помилки, які призвели до широкої вразливості. ONE може стверджувати, що, виконуючи обов’язки головного інженера, а також керівника щоденного управління, генеральний директор Марк Карпелес не зміг достатньо зосередитися на кіберзагрозах, які врешті призвели до збою біржі.

Як сказано в регламенті:

«Кожен Ліцензіат повинен призначити кваліфікованого працівника, який буде виконувати функції головного спеціаліста з інформаційної безпеки Ліцензіата («CISO»), відповідального за нагляд і реалізацію програми кібербезпеки Ліцензіата та забезпечення виконання його Політика кібербезпеки».

Ця посада призначена для нагляду за зусиллями щодо цифрової безпеки та полегшення звітності державному регулятору за потреби. CISO звітуватиме перед вищим керівництвом цифрової валютної компанії, розробляючи структуру безпеки та вносячи зміни, якщо це необхідно.

Найгірший сценарії

Але що робити, коли компанія, що займається цифровими валютами, розвалиться? Після того, як стало відомо про те, що Mt. Gox втратив кошти клієнтів, біржа виявилася пошкодженою та нездатною функціонувати. Можна стверджувати, що той факт, що в компанії не було чіткої Політика боротьби зі стихійними лихами, посилив проблеми як внаслідок злому, так і внаслідок подальшої реакції.

Ліцензіати повинні встановити робочі процедури, які набудуть чинності, якщо катастрофічна подія зробить компанію нездатною функціонувати. Це включає визначення критичних функцій, інфраструктури та персоналу, які візьмуть на себе контроль, якщо бізнес-провал стане ймовірним. Одержувачі BitLicense також повинні забезпечити комплексне навчання всього відповідного персоналу, який братиме участь у ліквідації наслідків стихійного лиха.

Крім того, компанії зобов’язані повідомляти про будь-які інциденти, які можуть становити ризик для операційної цілісності. У пропозиції йдеться:

«Кожен Ліцензіат повинен негайно повідомити інспектора про будь-яку надзвичайну ситуацію або інший збій у своїй діяльності, який може вплинути на його здатність виконувати регулятивні зобов’язання або мати значний негативний вплив на Ліцензіата, його контрагентів або ринок».

У сукупності ці вимоги призначені для того, щоб бізнес із цифровою валютою KEEP працювати, якщо раптово виникнуть проблеми. Хоча поки що неперевірена, ця пропозиція спрямована на обхід критичних збоїв, які в такому випадку зроблять клієнтів ще більш вразливими до втрат.

Час покаже

Наразі неможливо судити, чи допоможе пропозиція BitLicense відвернути кіберзагрози та захистити споживачів від надзвичайних ситуацій, подібних до тих, що виникли на горі Гокс. Подібно до законів, які регулюють управління банкрутством банків, нормативні акти T можна перевірити, поки не виникне реальна ситуація.

Тим не менш, за словами суперінтенданта NYDFS Бенджамін М. Лавскі, який сів для інтерв’ю з CNBC згідно з пропозицією, види регулювання, які він пропонує, мають бути запроваджені в ширшій фінансовій системі. Він підтвердив свою підтримку правил і сказав, що банки та інші фінансові компанії повинні активізувати власні зусилля для запобігання дестабілізуючим хакерським атакам.

В інтерв’ю Лавскі запитали, чи змогла б NYDFS запобігти або принаймні стримати ситуацію, подібну до гори Гокс, або будь-яку ситуацію, коли тривала атака поставила під загрозу кошти клієнтів. Він відповів, що пропозиції щодо кібербезпеки були б корисними, але припустив, що більш широка фінансова система страждає від тих самих недоліків.

Він сказав:

"Ми збираємося зайти й перевірити готовність цих фірм до кібербезпеки в Нью-Йорку, щоб переконатися, що вони роблять усе можливе, щоб запобігти такому типу хакерських атак. Подивіться, це можна сказати і про всю нашу банківську галузь. Ми повинні робити це щодо всіх".

Статуя Свободи зображення через Shutterstock