Displaying items by tag: Киберустойчивость

XII конференция БИТ Санкт-Петербург 2023 запланирована на 5, 6 октября 2023 года. Тема конференции: «Небезопасная цифровизация, или как выжить в текущих условиях». Тема Научной секции: «Безопасность сложных технических систем со встроенным искусственным интеллектом».

Местом проведения станет пространство «Точка кипения» по адресу пр. Медиков д. 3, корпус 5 (с 09-00 до 19-00). Научная секция пройдёт в университете ИТМО по адресу Песочная набережная д. 14 (с 11-00 до 17-00).

Формат БИТ позволяет одинаково комфортно участвовать сотрудникам государственных учреждений и органов власти наравне с сотрудниками и руководителями коммерческих организаций.

По традиции встречу откроет Виктор Минин, Председатель правления АРСИБ (Ассоциация руководителей служб информационной безопасности), и поразмышляет о диффамации, как факторе обеспечения киберустойчивости.

Основные тезисы мероприятия: импортонесовместимость; практики повышения защищенности; сетевые и несетевые атаки, прогноз на год; кадровое несоответствие, кадровый голод; текущий «некомплайнс»; оценки цифровой устойчивости; киберстабильность, киберустойчивость в новых реалиях; КИИ - как эксплуатировать то, что не соответствует требованиям регулятора; киберучения - очередная таблетка от Бизнеса; новые отношения с регулятором; как не выгореть и остаться в отрасли.

В первый день, для всех участников пройдут:

- Конференция
- Дискуссия
- Выставка
- Круглый стол «Разговор с регулятором»

Во второй день, для всех участников пройдёт:

Научная секция планируется 6 октября в «Национальном исследовательском университете ИТМО».

В настоящее время, открыт прием работ на научную секцию конференции. Присылайте доклады до 21 сентября на почту This email address is being protected from spambots. You need JavaScript enabled to view it. или в оргкомитет научной секции по адресу This email address is being protected from spambots. You need JavaScript enabled to view it..

Ключевой задачей БИТ является работа единой площадки в Санкт-Петербурге для обмена опытом и знаниями в сфере обеспечения информационной безопасности. Место для обсуждения ключевых вопросов защиты информации и обмена независимыми мнениями в профессиональной среде.

Источники: Сайт мероприятия | Регистрация

31 мая 2023 года, вышел 2-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - Страхование рисков в криптосфере: защита цифровых активов и обеспечение безопасности (в разделе Технологии \ Криптография).

Страхование в криптосфере должно быть важным инструментом для повышения доверия и привлечения новых участников в индустрию блокчейна и криптовалют. Однако стоит отметить, что во всем мире криптострахование все еще находится в стадии развития и покрытие и условия могут различаться в зависимости от страховой компании и регулирования в конкретной юрисдикции. В российской криптосфере такая практика практически отсутствует. Это связано с очень высоким уровнем риска и тем, что эти вопросы контролирует ЦБ России, который вряд ли пропустит программу страхования в столь неопределенной области, ведь полноценного регулирования в данном направлении еще нет. Попробуем определить контуры возможного рынка страховых услуг в криптосфере.

Пока в России есть общее страхование киберрисков, в том числе и для участников финансового рынка. Например, для финансового сектора сегодня определены договор киберстрахования и его составляющие, страховой тариф и премия страхователя, участники страхового рынка, андеррайтинг и инвестирование, страховые события, отличие страхования киберрисков от иного, страховые продукты рынка, учет особенностей банкострахования. Вероятно, с развитием обращения и хранения различных цифровых финансовых активов процедуры будут спроецированы и актуализированы под этот сегмент.

Страховая защита от кибератак покрывает ущерб от перерывов в деятельности, расходы на восстановление системы, расходы на восстановление и дешифровку данных (включая стоимость необходимого ПО), расходы на минимизацию последствий и расследование причин киберпреступления.

Но страхование в криптосфере, известное также как криптострахование или страхование цифровых активов, представляет собой процесс обеспечения защиты от потерь и рисков, связанных именно с криптовалютами, блокчейнами и другими ЦФА. Его цель – снижение финансовых рисков и обеспечение безопасности для держателей криптовалюты и участников криптовалютных платформ.

Страховые компании, специализирующиеся на криптостраховании, разрабатывают полисы и условия страхования, учитывая особенности цифровых активов и индустрии блокчейна. Они проводят анализ рисков, оценку безопасности платформ и используют технологии, такие как мультиподпись и холодное хранение (Cold Storage), для обеспечения безопасности активов.

В области блокчейна страхование может быть направлено на аспекты, связанные с самой технологией, – смарт-контракты, цифровые идентификаторы, децентрализованные приложения и другие инновационные решения. Страхование в области криптовалют, с другой стороны, фокусируется на безопасности и управлении рисками, связанными с хранением, передачей и использованием криптовалютных активов.

Основные риски в криптосфере

Криптовалюты и технология блокчейн, несомненно, являются технологически инновационным направлением и предоставляют множество потенциальных преимуществ и инноваций. Однако есть и специфичные риски, которые необходимо учитывать при работе именно в криптосфере. Рассмотрим основные риски, связанные с этой областью.

Кибербезопасность

Как и любая ИТ-инфраструктура, криптосфера подвержена угрозам кибербезопасности, таким как целевые атаки, фишинг, мошенничество и кражи. Злоумышленники могут нацелиться на цифровые кошельки, централизованные криптобиржи или смарт-контракты, чтобы получить несанкционированный доступ к цифровым активам. Уязвимости в программном обеспечении и слабые меры безопасности могут стать причиной утраты средств или компрометации конфиденциальных данных.

Регуляторные риски

Криптовалюты и блокчейн подвержены регуляторным рискам, связанным с возможными изменениями законодательства, политическими решениями и государственными регуляторными действиями. Изменения в правовом регулировании могут повлиять на легальность и использование криптовалют, а также на требования к деятельности криптобирж и других участников криптосферы.

К тому же отсутствует единое международное или национальное регулирование криптосферы. Это создает неопределенность и риски для участников, так как их правовой статус может оказаться неопределенным, а защита прав потребителей может быть недостаточной. Отсутствие достаточных регуляторных механизмов может способствовать возникновению мошенничества и неэтичного поведения в криптосфере.

Технические риски

Технические сбои или ошибки в блокчейне или смарт-контрактах могут привести к потере средств или нарушению целостности данных. Несовершенство кода и недостатки в разработке программного обеспечения могут привести к уязвимостям и возможности злоумышленников вмешаться в работу системы.

Виды криптострахования

В зависимости от объекта, для которого могут реализоваться те или иные риски, в криптосфере выделяют несколько типов страхования, которые предназначены для обеспечения безопасности и защиты участников.

Каждый из этих видов страхования в криптосфере разрабатывается с учетом специфических рисков и потребностей участников. Они направлены на снижение финансовых рисков и обеспечение безопасности в криптосфере, способствуя повышению доверия и стимулированию дальнейшего развития данной области.

1. Страхование хранилища криптовалют предоставляет защиту от утраты или кражи цифровых активов, которые хранятся в цифровых кошельках или хранилищах. Это покрытие может включать кражу средств в результате хакерских атак, утрату личных ключей или ошибочные операции. Страховая компания возмещает финансовые потери, связанные с такими событиями.

2. Страхование транзакций криптовалют предполагает защиту от потерь, связанных с неправильными или мошенническими транзакциями. В эти случаи включаются ошибочные переводы, фишинговые атаки или мошенничество при совершении сделок с цифровыми активами. Страхование транзакций помогает восстановить средства или компенсировать потери, понесенные в результате таких событий.

3. Страхование криптобирж предназначено для обеспечения защиты пользователей и криптобирж от таких угроз, как хакерские атаки, кражи средств, а также и от недобросовестного поведения со стороны самих бирж. К этому типу относится и защита средств клиентов, хранящихся на бирже, возможность компенсации потерь, понесенных пользователями в результате инцидентов, связанных с безопасностью.

4. Страхование смарт-контрактов предлагает защиту от возможных ошибок или уязвимостей в смарт-контрактах, которые могут привести к потере средств или неправильному исполнению условий контракта. Страхование смарт-контрактов может предоставить возможность компенсации потерь, возникших в результате ошибочных смарт-контрактов или взломов.

ГОСТ Р 59516–2021

Нельзя не упомянуть о действующем в России стандарте от 30.11.2021 г. ГОСТ Р 59516–20211 "Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности". Он был разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27102:2019 "Менеджмент информационной безопасности. Рекомендации по страхованию киберрисков" (ISO/IEC 27102:2019 Information security management – Guidelines for cyberinsurance).

Стандарт предписывает в целях ослабления последствий, возникающих в результате инцидентов ИБ, в дополнение к принятым в соответствии с ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002 организационным и техническим мерам обеспечения ИБ, внедрять страхование рисков ИБ как один из инструментов управления киберрисками.

Страхование рисков ИБ не рассматривается как альтернатива эффективной системе менеджмента информационной безопасности информации (СМИБ) и не может исключить необходимость разработки планов реагирования на инциденты ИБ, создания системы обучения персонала и принятия других организационных и технических мер по защите информационных активов. Страхование рисков ИБ следует рассматривать как важный компонент СМИБ для противодействия угрозам ИБ и повышения устойчивости бизнеса.

Данный стандарт ссылается и на действующие версии ГОСТ Р ИСО/МЭК 27001 (требования к системам менеджмента ИБ), 27002 (нормы и правила менеджмента ИБ), 27003 (реализация системы менеджмента ИБ), 27004 (измерения при менеджменте ИБ), 27005 (менеджмент риска ИБ).

Вызовы криптострахования

Криптосфера относительно молода, и исторических данных о страховых случаях и рисках накоплено существенно меньше, чем в традиционном страховании. Конечно же, это создает дополнительные сложности для страховых компаний в оценке рисков и определении страховых премий.

К тому же криптовалюты характеризуются высокой волатильностью и неопределенностью, что, в свою очередь, еще больше усложняет прогнозирование рисков и оценку потенциальных убытков.

Как уже отмечалось, криптосфера весьма подвержена угрозам кибербезопасности, включая хакерские атаки и последующие утечки данных. Поэтому успешное страхование криптосферы в дополнение к классическим методам защиты потребует разработки и внедрения специфических инструментов для мониторинга и реагирования, чтобы справиться с растущими киберугрозами.

В связи с уникальными особенностями блокчейн-технологии, страхование в области блокчейна может требовать дополнительной экспертизы и понимания технических аспектов для эффективной оценки рисков и разработки страховых продуктов. Страхование в области криптовалют также требует понимания криптографических принципов и методов хранения и передачи криптовалют.

И конечно же, сфера криптовалют сталкивается с разнообразными регуляторными и правовыми вопросами. Некоторые юрисдикции еще разрабатывают законы и политику, регулирующие криптовалюты и блокчейн. Необходимость соблюдения различных нормативных требований и соответствие законодательству может быть сложной задачей для страховых компаний.

Заключение

Роль страховых компаний в криптосфере состоит в обеспечении безопасности и защите участников от финансовых рисков, связанных с криптовалютами и блокчейном. Они играют важную роль в развитии и стабилизации данной отрасли, создавая доверие и обеспечивая компенсацию при возникновении нежелательных событий.

Криптострахование в России имеет потенциал для того, чтобы стать важным элементом криптосферы, обеспечивая безопасность, доверие и стабильность в этой инновационной области. Однако для его полного развития необходимо преодолеть первичную неопределенность.

Безусловно, самой действенной страховкой являются надежные системы защиты и сопутствующие превентивные меры, но иметь полис на всякий случай не помешает.

Источник: Информационная безопасность

31 марта 2023 года, вышел в свет 1-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных: Атака 51 % и устойчивость блокчейна биткойна (в разделе Технологии \ Криптография).

Децентрализованная сеть биткоина ставит метки времени на транзакции, соединяя их в цепочку доказательств проделанной работы на основе хеширования. Сформированные таким образом записи невозможно изменить, не выполнив заново всего объема вычислений. Самая длинная версия цепочки служит не только подтверждением очередности событий, но и доказывает, что над ней произвел работу самый большой вычислительный сегмент сети. Система находится в безопасности, пока под совокупным контролем ее честных участников находится больше вычислительной мощности, чем под контролем группы действующих совместно злоумышленников. В противном случае реализуется сценарий, названный “атака 51%”.

До тех пор, пока большая часть вычислительных мощностей контролируется узлами, не объединенными с целью атаковать сеть, они будут генерировать самую длинную цепочку, опережая любых злоумышленников. Устройство самой сети очень простое: сообщения рассылаются на основе принципа наименьших затрат, а узлы могут покидать сеть и снова подключаться к ней в любой момент, принимая самую длинную версию цепочки для восстановления пропущенной истории транзакций.

Технологическая устойчивость биткойна основана на криптографии, а не на доверии третьей стороне, как это происходит в традиционных финансах. Вычислительная сложность и, как следствие, дороговизна отмены транзакций ограждает продавцов от мошенничества.

Доказательство работы

Для реализации распределенного однорангового сервера меток времени разработчики использовали схему "доказательство работы", подобную системе Hashcash. Ее суть заключается в поиске такого значения, хеш которого (например, SHA-256) начинался бы с некоторого числа нулевых битов. Требуется выполнить объем работы, экспоненциально зависящий от числа нулей, но для проверки найденного значения достаточно вычислить лишь один хеш. В сервере меток времени поиск значения с нужным хешем происходил путем перебора значения итерируемого поля-добавки (nonce) в блоке данных. Как только блок, удовлетворяющий условию, найден, его содержимое нельзя изменить, не выполнив заново всей работы. И если он не является последним в цепочке, эта работа включает в себя и перевычисление всех блоков, следующих за ним.

Доказательство работы через хеширование также решает вопрос об определении версии, поддерживаемой большинством. Если голосом считается один IP-адрес, то такую схему можно скомпрометировать, если контролировать большой диапазон адресов. Схема биткойна основана на принципе "один процессор – один голос". Самая длинная из хеш-цепочек выражает мнение большинства, которое вложило в нее наибольшее количество ресурсов.

Если более половины вычислительной мощности принадлежит честным узлам, то цепочка честных транзакций будет расти быстрее и опередит любую конкурирующую цепь. Чтобы внести изменения в любой из прошлых блоков, атакующему придется выполнить заново работу над этим блоком и всеми последующими, а затем догнать и перегнать честных участников по новым блокам. Вероятность такого успеха у злоумышленника, обладающего меньшими ресурсами, экспоненциально убывает в зависимости от числа блоков.

Для компенсации возрастающей вычислительной мощи процессоров и колебания числа работающих узлов в сети сложность хеширования изменяется (примерно раз в две недели), чтобы обеспечивать равномерную скорость генерации блоков (около 10 мин.) Если они появляются слишком часто, сложность возрастает и наоборот.

Участники всегда считают истинной самую длинную версию цепочки и работают над ее удлинением. Если два узла одновременно опубликуют разные версии очередного блока, то кто-то из остальных пиров получит раньше одну версию, а кто-то другую. В таком случае каждый начнет работать над своей версией цепочки, сохранив другую на случай, если она окажется продолжена раньше. Двойственность исчезнет, как только будет получен новый блок, который продолжит любую из ветвей, и те узлы, что работали над конкурирующей версией, переключатся на нее.

Экономия дискового пространства

Как только последняя транзакция в цепочке окажется внутри достаточно старого блока, все предшествующие ей транзакции в цепочке могут быть удалены в целях очистки дискового пространства. Чтобы хеш блока остался неизменным, все транзакции в блоке хранятся в виде хеш-дерева Меркла и лишь его корень включается в хеш блока. Размер старых блоков может быть уменьшен за счет удаления ненужных ветвей этого дерева, хранить промежуточные хеши необязательно.

Заголовок пустого блока будет составлять около 80 байт. Из расчета скорости генерации блока раз в 10 мин. получаем 80*6*24*365 = 4,2 Мбайт в год. Для среднестатистического на 2008 г. компьютера с 2 Гбайт оперативной памяти, с учетом закона Мура, предсказывающего рост на 1,2 Гбайт в год, хранение данных не будет проблемой, даже если все заголовки блоков будут находиться в памяти.

Упрощенная проверка платежей

Верификация транзакций возможна без запуска полнофункционального узла. Пользователю необходимо лишь хранить заголовки блоков самой длинной цепочки, которую он получил от других узлов, и запрашивать хеш-поддерево для необходимой транзакции. Он не может проверить корректность транзакции самостоятельно, но, получив ссылку на блок, в котором она находится, он может убедиться в том, что этот блок и все последующие приняты и подтверждены сетью.

На такой метод проверки можно полагаться, пока сеть хотя бы наполовину находится под контролем честных участников, то есть пока злоумышленник не завладеет большими ресурсами. Обычные узлы могут проверять транзакции самостоятельно, но если нападающий генерирует самую длинную цепь блоков, то своими сфабрикованными транзакциями он может скомпрометировать упрощенную схему. Одной из стратегий противодействия этому может быть рассылка сигналов тревоги от обычных пиров, которые получают "ложный" блок. Такой сигнал будет заставлять программу-клиент загружать блок полностью, чтобы самостоятельно подтверждать некорректность данных.

Конфиденциальность технологии

Традиционная банковская модель поддерживает необходимый уровень конфиденциальности, предоставляя доступ к информации лишь сторонам-участницам и доверенному третьему лицу. Необходимость открытой публикации транзакций исключает такой подход, однако приватность по-прежнему можно сохранить, если публичные ключи анонимны. Открытой будет информация о том, что кто-то отправил кому-то некоторую сумму, но без привязки к конкретным личностям. Столько же данных раскрывается и на фондовых биржах, которые публикуют время и объем частных сделок, не указывая, между кем именно они были совершены.

Дополнительной защитой будет являться генерация новой пары "открытый/закрытый ключ" для каждой транзакции: это предотвратит связывание различных платежей с их общим отправителем или адресатом. Некоторого публичного связывания все же не избежать: транзакции с несколькими входами доказывают, что эти суммы принадлежат одному лицу. Риск состоит в том, что раскрытие личности владельца ключа может привести к раскрытию и всех принадлежащих ему транзакций.

Оценка вероятности "атаки 51%"

Рассмотрим сценарий, в котором злоумышленник пытается генерировать более длинную цепь блоков, чем честные участники. Даже если он преуспеет, это не приведет к тому, что можно будет создавать деньги из воздуха, присваивать себе чужие монеты или вносить иные произвольные изменения. Узлы никогда не примут некорректную транзакцию или блок, содержащий ее. Атакующий может лишь пытаться изменить одну из своих транзакций, чтобы возвратить отправленные деньги.

Гонку между честными участниками и нападающим можно представить как биномиальное случайное блуждание. Успешное событие, когда "хорошая" цепь удлиняется на один блок, приводит к увеличению отрыва на единицу, а неуспешное, когда очередной блок создает злоумышленник, – к его сокращению. Вероятность атакующего наверстать разницу в несколько блоков такая же, как и в задаче о "разорении игрока". Представим, что игрок имеет неограниченный кредит, начинает с некоторым дефицитом и у него есть бесконечно много попыток, чтобы отыграться. Вероятность того, что он преуспеет, как и вероятность злоумышленника догнать честных участников, вычисляется следующим образом:

p = вероятность появления блока в честной цепочке,

q = вероятность того, что блок создаст атакующий,

qz = вероятность того, что атакующий наверстает разницу в z блоков.

В случае p > q вероятность уменьшается экспоненциально с ростом числа блоков, на которое отстает злоумышленник. Поскольку все ставки против него, без удачного рывка в начале его шансы на успех становятся ничтожно малы.

Рассмотрим теперь, как долго получателю платежа стоит ждать, прежде чем он будет полностью уверен, что бывший владелец не сможет отменить транзакцию. Предположим, что злоумышленник-отправитель позволяет адресату некоторое время верить, что платеж был проведен, после чего возвращает деньги себе. Получатель узнает об этом, но мошенник надеется, что будет уже слишком поздно.

Адресат создает новую пару ключей и сообщает свой публичный ключ отправителю прямо перед подписанием транзакции. Это не позволит отправителю заранее начать работать над цепочкой и провести транзакцию в тот момент, когда он будет достаточно удачлив, чтобы совершить рывок вперед. После отправки платежа мошенник начинает втайне работать над параллельной версией цепочки, содержащей альтернативную транзакцию.

Получатель ждет, пока транзакция не будет добавлена в блок и тот не будет продолжен еще z блоками. Ему неизвестен прогресс злоумышленника, но если средняя скорость генерации честных

блоков известная величина, то число блоков атакующего подчиняется распределению Пуассона с математическим ожиданием:

Чтобы получить вероятность того, что атакующий обгонит честных участников, необходимо умножить значение случайной величины (число созданных им блоков) на вероятность того, что он сможет наверстать оставшуюся разницу:

Перегруппировав слагаемые и избавляясь от бесконечного ряда, получаем:

Таким образом, разработчики пришли к выводу, что вероятность экспоненциально падает с ростом z. В биткоин-кошельках это было реализовано в виде подтверждения транзакций.

Выводы

При успешной реализации "атаки 51%", если будет иметь место сговор пулов или использование квантовых компьютеров, злоумышленники не смогут получить прибыль, поскольку это подорвет доверие к сети и произойдет крах курса биткойна.

Для поддержания нормальной работы сети необходимо участие честных майнеров с соответствующими распределенными мощностями. Но компаниям, часто принимающим платежи, необходимо подключаться к сети в обычном режиме, а не по упрощенной схеме, для большей независимости, безопасности и быстроты проверки блоков.

Отдельно стоит отметить, что псевдо-анонимность биткойна позволяет анализировать транзакции, кластеризовать адреса кошельков и, как следствие, идентифицировать личности злоумышленников в случае инцидентов.

Источник: Информационная безопасность