La BitLicense di New York può impedire un'altra catastrofe al Mt. Gox?

La pubblicazione delle proposte di regolamentazione aziendale per la valuta digitale da parte del Dipartimento dei servizi finanziari di New York (NYDFS) ha sollevato numerose domande, molte delle quali si concentrano sulla minaccia all'innovazione nello spazio e sull'impatto su un'adozione più ampia. Tuttavia, ONE domanda che potrebbe valere la pena di considerare è questa: queste normative fermeranno un'altra catastrofe di Mt. Gox?

Sebbene T si possa affermare che un qualsiasi schema normativo abbia successo al 100% nell'eliminare i cattivi attori o le aziende mal gestite, le regole proposto dal NYDFS sembrano essere un passo nella giusta direzione, imponendo rigidi requisiti di sicurezza informatica. Questi includono prove di penetrazione obbligatorie su base annuale per le piattaforme di valuta digitale e la nomina obbligatoria di un responsabile della sicurezza informatica da parte di un'azienda che cerca di ricevere una "BitLicense".

Come delineato nella proposta:

"Ciascun Licenziatario deve stabilire e mantenere un programma di sicurezza informatica efficace per garantire la disponibilità e la funzionalità dei sistemi elettronici del Licenziatario e per proteggere tali sistemi e tutti i dati sensibili in essi archiviati da accessi, usi o manomissioni non autorizzati".

Prevenire gli attacchi alle infrastrutture critiche, e soprattutto ai portafogli contenenti i fondi dei clienti, è l'obiettivo principale di queste normative. Inoltre, il NYDFS richiede la creazione di politiche di emergenza nel caso in cui un'azienda di valuta digitale subisca un incidente catastrofico.

Ampia attenzione alla sicurezza informatica

Le normative tentano di non lasciare nulla di intentato in termini di tipi di minacce informatiche che un'azienda di valuta digitale potrebbe affrontare. Le aziende sono tenute a valutare attivamente le minacce e a mantenere sistemi robusti in grado di respingere i tipi di attacchi che hanno portato al fallimento di Mt. Gox e alla perdita di milioni di dollari di fondi dei clienti.

Il NYDFS propone di imporre a ogni azienda di valuta digitale di istituire policy di sicurezza informatica complete che coprano ogni potenziale vulnerabilità. In particolare, la dirigenza di ogni azienda è tenuta a certificare, almeno una volta all'anno, che tale Politiche è stata seguita con successo e ad apportare modifiche quando necessario.

Dal punto di vista della rendicontazione, il NYDFS richiederà che ogni azienda fornisca la prova che i propri sistemi di sicurezza interna siano sufficienti per il compito. Ogni licenziatario deve presentare relazioni annuali all'ente regolatore statale che descrivano accuratamente la funzionalità e la capacità dei sistemi di sicurezza.

L'audit interno è inoltre richiesto su diversi fronti chiave, tra cui i test di penetrazione per scoprire e correggere le debolezze. I test di penetrazione sono richiesti almeno una volta all'anno, insieme a valutazioni trimestrali che certificano la continua solidità di questi sistemi.

Le aziende che utilizzano valute digitali sono inoltre tenute a mantenere chiare tracce di controllo che includano dati sulle transazioni, schede di accesso degli utenti e registri di accesso all'hardware aziendale.

Resta da vedere se questo livello di controllo avrà o meno un impatto negativo sulle attività legate alla valuta digitale nello Stato.

COME alcuni nel settore Bitcoinhanno commentato, i severi requisiti di reporting impongono costi inutili che sono più dannosi per le startup che per le aziende consolidate. D'altro canto, altri affermano che nel caso di Mt. Gox, una supervisione più solida potrebbe aver impedito i passi falsi che hanno portato al suo crollo.

La leadership della sicurezza è un requisito

Per mantenere e aggiornare le politiche di sicurezza informatica proposte da ciascun licenziatario, il NYDFS è tenuto a nominare un responsabile della sicurezza informatica (CISO).

Questo aspetto delle normative affronta ONE delle critiche mosse a Mt. Gox, ovvero che non sono stati definiti ruoli di leadership chiari, consentendo i tipi di lacune che hanno portato a un'ampia vulnerabilità. ONE potrebbe sostenere che agendo come ingegnere capo e anche come responsabile della gestione quotidiana, il CEO Mark Karpeles non è stato in grado di concentrarsi a sufficienza sulle minacce informatiche che alla fine hanno fatto crollare la borsa.

Come recita il regolamento:

"Ciascun Licenziatario dovrà designare un dipendente qualificato che svolga la funzione di Chief Information Security Officer ("CISO") del Licenziatario, responsabile della supervisione e dell'implementazione del programma di sicurezza informatica del Licenziatario e dell'applicazione della sua Politiche di sicurezza informatica".

Questa posizione è destinata a supervisionare gli sforzi di sicurezza digitale e facilitare la segnalazione all'ente regolatore statale, se necessario. Il CISO riferirà alla dirigenza senior della società di valuta digitale, elaborando il quadro di sicurezza e apportando modifiche quando necessario.

Scenari peggiori

Ma cosa succede quando un'azienda di valuta digitale crolla? In seguito alle rivelazioni secondo cui Mt. Gox aveva perso i fondi dei clienti, l'exchange si è trovato paralizzato e incapace di funzionare. Probabilmente, il fatto che l'azienda non avesse una chiara Politiche di gestione dei disastri ha esacerbato i problemi derivanti sia dall'hacking che dalla successiva risposta.

I licenziatari devono stabilire procedure operative da applicare nel caso in cui un evento catastrofico renda l'azienda incapace di funzionare. Ciò include l'identificazione di funzioni critiche, infrastrutture e personale che assumeranno il controllo se il fallimento aziendale diventa una possibilità. I destinatari di BitLicense devono inoltre fornire una formazione completa a tutto il personale pertinente che verrebbe coinvolto durante la gestione dei disastri.

Inoltre, le aziende sono tenute a segnalare qualsiasi incidente che possa rappresentare un rischio per l'integrità operativa. La proposta recita:

"Ciascun Licenziatario dovrà notificare tempestivamente al sovrintendente qualsiasi emergenza o altra interruzione delle proprie operazioni che possa influire sulla sua capacità di adempiere agli obblighi normativi o che possa avere un effetto negativo significativo sul Licenziatario, sulle sue controparti o sul mercato".

Insieme, questi requisiti sono progettati per KEEP in funzione un'attività di valuta digitale nel caso in cui si verifichino problemi improvvisi. Sebbene non testata, per ora, la proposta mira a eludere interruzioni critiche che, in tal caso, renderebbero i clienti ancora più vulnerabili alle perdite.

Il tempo lo dirà

Per ora, è impossibile giudicare se la proposta BitLicense aiuterà o meno a deviare le minacce informatiche e a proteggere i consumatori da situazioni di emergenza come quelle incontrate da Mt. Gox. Come le leggi che regolano la gestione dei fallimenti bancari, le normative T possono essere realmente testate finché non si verifica una situazione reale.

Eppure, secondo il sovrintendente del NYDFSdi Benjamin M Lawsky, che si è seduto per un'intervista conLa CNBCsulla proposta, i tipi di regolamenti che sta proponendo dovrebbero essere istituiti in tutto il sistema finanziario più ampio. Ha ribadito il suo sostegno ai regolamenti e ha affermato che le banche e le altre società finanziarie devono intensificare i propri sforzi per prevenire attacchi informatici destabilizzanti.

Nell'intervista, a Lawsky è stato chiesto se il NYDFS sarebbe stato in grado di prevenire o almeno contenere una situazione alla Mt. Gox, o qualsiasi situazione in cui un attacco sostenuto mettesse a rischio i fondi dei clienti. Ha risposto che le proposte di sicurezza informatica sarebbero state utili, ma ha suggerito che il sistema finanziario più ampio soffre degli stessi tipi di debolezze.

Ha detto:

"Andremo a testare la prontezza in materia di sicurezza informatica di queste aziende a New York, per assicurarci che stiano facendo tutto il possibile per prevenire quel tipo di attacco hacker. Guarda, potresti dire lo stesso anche di tutto il nostro settore bancario. Dovremmo farlo per tutti".

Statua della Libertàimmagine tramiteImmagine