Kate
22 Июл 2019
1234050 Просмотров

Мнения экспертов: чем опасно внедрение блокчейна в банковскую сферу

Активное внедрение финансовыми организациями технологий блокчейн угрожает их безопасности, вплоть до полной потери контроля над критически важными ресурсами. Об этом говорится в отчете Positive Technologies (специализируется на киберзащите), подготовленном для «Известий».

По оценкам аналитиков, половина пилотных проектов банков и более 70% заключаемых смарт-контрактов демонстрируют уязвимости к хакерским атакам. Отчасти это связано с новизной технологии для программистов, что приводит к большому числу ошибок при написании кода. Другие крупные компании из области киберзащиты выводы Positive Technologies в целом подтверждают. 

Крупнейшие банки, опрошенные «Известиями», пока не видят значительных рисков в использовании блокчейна, поскольку на данном этапе большинство проектов пилотируются в закрытом режиме. Впрочем, они признают, что технология недостаточно изучена и прецеденты с хищением средств из криптобирж подтверждают ее уязвимость.

От частного к целому

Половина пилотов и более 70% смарт-контрактов (наиболее востребованный в финансовой среде инструмент на блокчейне) содержат уязвимости к хакерским атакам, пишут аналитики Positive Technologies в своем отчете, посвященном рискам использования банками технологий распределенных данных. Главный риск заключается в том, что проекты, запущенные даже в тестовом режиме, зачастую так или иначе связаны с основной корпоративной инфраструктурой финансовых организаций — как внешней, так и внутренней.

Из-за этого возможно проникновение в основную сеть банка с использованием уязвимости в системе на базе блокчейна. Например, для пилотного проекта формируется специальная трансакция с вредоносным кодом. Она поступает в закрытую тестируемую платформу, а затем используется как транспорт для атак на другие связанные системы. Это может привести к получению нарушителем полного контроля над критически важными ресурсами организации, предупреждают аналитики Positive Technologies.

Использование блокчейн-технологий даже в пилотном режиме неотделимо от темы защищенности внутренней сети кредитно-финансовых организаций, пишут аналитики Positive Technologies. Посредством этих систем можно получить доступ к узлам, с которых выполняется управление банкоматами, к межбанковским переводам, карточному процессингу или платежным шлюзам.

Действительно, есть определенная опасность, что злоумышленник подключит зараженные ноды (определенные алгоритмы, используемые в блокчейн) к общей сети, подтвердили «Известиям» в Doctor Web. В этом случае появится возможность проследить источник совершения трансакций и проникнуть в основную инфраструктуру организации.

Молодо-зелено

Как и все новые технологии, системы на базе блокчейна могут быть незрелыми — без опыта противостояния угрозам, сказал «Известиям» антивирусный эксперт «Лаборатории Касперского» Алексей Маланов.

Хотя они и активно тестируются российскими банками, судить об устойчивости таких пилотов к ошибкам пока затруднительно, поскольку в них принимает участие ограниченный круг лиц. Даже если находятся какие-либо уязвимости, то банк может их исправить, не привлекая внимания, заключил Алексей Маланов.

В финансовых организациях пока не видят серьезных угроз для безопасности своей инфраструктуры из-за блокчейн-проектов, поскольку значительная их часть реализуется в закрытом режиме. Но там признают, что технология уязвима, тем более на фоне того, что у программистов пока недостаточно опыта работы с системами, основанными на распределенном реестре. Такую точку зрения высказали в Сбербанке, ВТБ и Альфа-банке.

Из-за отсутствия общедоступного инструментария пока затруднены своевременное обнаружение подобных инцидентов и реагирование на них, считают в Positive Technologies.

По сути, существуют лишь два вида ответа: «откатить» блокчейн до состояния, предшествующего атаке (но тогда утрачиваются все данные, занесенные в систему после нее), либо «принятие и смирение», говорят аналитики. Поэтому пока наиболее адекватный способ защиты — это заблаговременное предотвращение взлома.

Например, исходя из особенностей архитектуры атак посредством блокчейна был разработан специальный алгоритм, позволяющий за один-два дня прогнозировать нападения группировки RTM (входит в топ-3 по частоте атак на банки), сообщили в Positive Technologies. Это позволило уведомлять кредитно-финансовые организации о новых серверах, с которых готовятся атаки.

Пока большинство громких кейсов, просочившихся в публичную плоскость, связаны с альтернативными финансовыми сервисами на блокчейне — такими, как взломы кошельков компаний, проводивших ICO, или криптовалютных бирж, рассказал технический директор компании DeviceLock Ашот Оганесян.

Например, в начале июля этого года хакеры похитили $32 млн у японской биржи Bitpoint, двумя месяцами ранее — около $40 млн из одного из кошельков биржи Binance. По словам Ашота Оганесяна, технология становится излюбленной мишенью для хакерских атак, поскольку находится в большинстве юрисдикций на полулегальном положении, поэтому преступники чувствует определенную безнаказанность в своих действиях.

0
5

КРИПТОВАЛЮТЫ

Bitcoin
7 390.90 USD
0.11%
BTC
Ethereum
148.13 USD
0.01%
ETH
XRP
0.217799 USD
0.13%
XRP
Tether
1.00 USD
-0.18%
USDT
Bitcoin Cash
211.87 USD
-0.26%
BCH

0 КОММЕНТАРИЕВ

Будь первым кто оставит комментарий