Д-р Стефан Байер объявляет о создании Совета безопасности корпоративных блокчейнов (EBSec) и выпуске Спецификации безопасности корпоративных блокчейнов (EBSS)
EBSec – это альянс компаний, заинтересованных в безопасном внедрении технологии распределенного реестра в корпоративные приложения. EBSS, первый результат сотрудничества, представляет собой основу, которая помогает компаниям в безопасном проектировании, развертывании и управлении блокчейн-приложениями.
Безопасность распределенного реестра
Блокчейны защищены усовершенствованной криптографией, которую невозможно взломать с помощью современных технологий. Это означает, что теоретически цифровые активы, хранящиеся в распределенных реестрах, должны быть чрезвычайно безопасными. Тем не менее, инциденты, связанные с кибер-безопасностью, постоянно приводят к краже активов. Не проходит и недели без серьезных инцидентов или раскрытия новых уязвимостей. Очевидная незащищенность публичного пространства блокчейнов начала влиять на репутацию технологии распределенного реестра и серьезно препятствовать внедрению на предприятиях. Компании и целые отрасли не знают, как использовать эту многообещающую технологию в своих корпоративных сценариях использования.
Наблюдаемая нами проблема безопасности связана с рядом причин:
- Сдвиг парадигмы: децентрализованные системы отличаются от традиционных IТ-систем, поскольку они вводят новые концепции. Безопасность активов больше не является централизованной концепцией, в которой данные и другие ресурсы заблокированы на сервере черного ящика в сценарии типа хранилища. Вместо этого активы прозрачно защищены криптографическими протоколами, криптографическими ключами, управляемыми пользователем, и даже сложными правилами в смарт-контрактах. Это означает, что компаниям приходится иметь дело с новыми парадигмами безопасности, к которым они, возможно, не привыкли, и которым не хватает руководящих принципов передовой практики.
-
Плохая практика: Плохая практика в области информационной безопасности очень распространена во всех системах. В прозрачных и децентрализованных системах, которые зависят от защиты закрытых ключей и от смарт-контрактов, обеспечивающих значительную ценность, влияние часто бывает хуже. Системы часто обходятся без плохо написанного кода или незащищенных ключей в централизованном сервере просто потому, что плохая практика не видна внешним пользователям. Однако небезопасные смарт-контракты в публичной книге видны всем.
-
Безопасность обычных информационных систем: распределенные реестры и смарт-контракты – это лишь небольшая часть типичных приложений блокчейна. Обычно существует ряд стандартных программных уровней, включая веб-интерфейсы, API, программное обеспечение узлов и базы данных. Во многих случаях система фактически подвергается атаке с использованием традиционных уязвимостей программного обеспечения, которые не имеют никакого отношения к технологии блокчейн.
Спецификация безопасности корпоративных блокчейнов
EBBS возникла из наблюдаемой потребности в общих рекомендациях по безопасности, которые предприятия могут использовать для применения минимального стандарта безопасности к своим режимам работы. Спецификация не предназначена для замены существующих стандартов безопасности, таких как ISO / IEC 27001: 2013. Она также не обеспечивает мер безопасности низкого уровня для обеспечения безопасного кода. Уже существуют другие рекомендации, касающиеся конкретных технологий. Вместо этого EBSS сосредотачивается на общих рекомендациях и операционных политиках, которые должны быть в компании, которая хочет внедрить технологию распределенного реестра.
Совет безопасности корпоративного блокчейна
EBSec – это название, которое мы даем (в настоящее время) неформальному альянсу компаний, которые определили EBSS, и каждая по-своему вносит свой вклад в безопасность блокчейна.
В настоящее время EBSec составляют следующие компании:
Cryptonics – это консалтинговая фирма по распределенному реестру и криптографии, которая специализируется на аудите приложений с полным стеком блокчейнов и разработке безопасных архитектур блокчейнов.
Solidified – это фирма по аудиту смарт-контрактов и платформа для выявления ошибок, специализирующаяся на первоклассном аудите смарт-контрактов, ориентированном на Ethereum.
S2 Grupo – крупный поставщик услуг кибер-безопасности, специализирующийся на управляемой кибер-безопасности, консалтинге и безопасной разработке.
PARSIQ – ведущая аналитическая компания по блокчейну, специализирующаяся на мониторинге в реальном времени цифровых активов, развернутых в блокчейне.
Сотрудничество
Мы не хотим, чтобы EBSS и другие будущие спецификации зависели исключительно от нашего собственного опыта и суждений. Дополнения к спецификациям приветствуются через стандартные процессы GitHub, такие как запросы и проблемы.
Со слов доктора Стефана Бейера, генерального директора Cryptonics. Он занимается исследованиями распределенных систем более 15 лет и специализируется на технологии блокчейн, кибер-безопасности и криптографии. Он проверял безопасность многих крупномасштабных приложений блокчейна и протоколов смарт-контрактов и консультирует как стартапов, так и существующие предприятия по вопросам безопасности блокчейнов и криптографии. Он является основателем Совета безопасности корпоративного блокчейна и инициатором спецификации безопасности корпоративного блокчейна.
Об обновленном сайте SiGMA:
SiGMA Group рада объявить о запуске своего обновленного веб-сайта. В настоящее время веб-сайт доступен на 5 языках: английском, русском, китайском, португальском и испанском, и в ближайшие месяцы планируется добавить еще 5 языков, а именно французский, тайский, корейский, японский и хинди.