Сможет ли BitLicense в Нью-Йорке предотвратить еще одну катастрофу Mt. Gox?

Публикация предлагаемых правил ведения бизнеса в сфере цифровой валюты Департаментом финансовых услуг Нью-Йорка (NYDFS) вызвала множество вопросов, многие из которых сосредоточены на угрозе инновациям в этой сфере и влиянии на более широкое принятие. Тем не менее, ONE вопрос, который, возможно, стоит рассмотреть, заключается в следующем: остановят ли эти правила еще одну катастрофу Mt. Gox?

Хотя T сказать, что какая-либо схема регулирования на 100% успешна в отсеивании недобросовестных участников или плохо управляемых предприятий, правила предложено NYDFS кажется, что это шаг в правильном направлении, если будут введены строгие требования к кибербезопасности. Они включают в себя обязательные испытания на проникновение на ежегодной основе для платформ цифровой валюты и обязательное назначение главного сотрудника по информационной безопасности компанией, которая стремится получить «BitLicense».

Как следует из предложения:

«Каждый Лицензиат должен разработать и поддерживать эффективную программу кибербезопасности для обеспечения доступности и функциональности электронных систем Лицензиата, а также для защиты этих систем и любых конфиденциальных данных, хранящихся в этих системах, от несанкционированного доступа, использования или взлома».

Предотвращение атак на критическую инфраструктуру и, что самое важное, кошельки, содержащие средства клиентов, является главной целью этих правил. Кроме того, NYDFS требует создания чрезвычайных политик на случай, если бизнес цифровой валюты столкнется с катастрофическим инцидентом.

Широкий фокус на кибербезопасности

Правила пытаются не оставить камня на камне с точки зрения типов киберугроз, с которыми может столкнуться бизнес цифровой валюты. Компании обязаны активно оценивать угрозы и поддерживать надежные системы, которые могут отражать виды атак, которые привели к краху Mt. Gox и потере миллионов долларов клиентских средств.

NYDFS предлагает обязать каждую компанию, занимающуюся цифровой валютой, ввести комплексную политику кибербезопасности, которая охватывает любые потенциальные уязвимости. В частности, руководство каждой компании должно подтверждать, по крайней мере ежегодно, что такая Политика была успешно соблюдена, и вносить изменения при необходимости.

Что касается отчетности, NYDFS потребует, чтобы каждая компания предоставила доказательства того, что ее внутренние системы безопасности достаточны для этой задачи. Каждый лицензиат должен представлять ежегодные отчеты государственному регулятору, которые точно описывают функциональность и возможности систем безопасности.

Внутренний аудит также требуется по ряду ключевых направлений, включая тесты на проникновение для обнаружения и устранения слабых мест. Тесты на проникновение требуются не реже одного раза в год, наряду с ежеквартальными оценками, которые подтверждают постоянную прочность этих систем.

Компании, работающие с цифровой валютой, также обязаны вести четкие аудиторские журналы, включающие данные о транзакциях, табели учета рабочего времени пользователей и журналы доступа к оборудованию компании.

Пока неизвестно, окажет ли такой уровень контроля негативное влияние на деятельность компаний, занимающихся цифровой валютой, в штате.

Как некоторые в индустрии Bitcoinпрокомментировали, строгие требования к отчетности налагают ненужные расходы, которые более вредны для стартапов, чем для устоявшихся компаний. С другой стороны, другие говорят, что в случае Mt. Gox более жесткий надзор мог бы предотвратить ошибки, которые привели к ее краху.

Лидерство в области безопасности является обязательным требованием

Для поддержания и обновления предлагаемых политик кибербезопасности, которые будет разрабатывать каждый лицензиат, Департаменту финансовых услуг Нью-Йорка поручено назначить главного сотрудника по информационной безопасности (CISO).

Этот аспект правил отвечает на ONE из критических замечаний, выдвинутых против Mt. Gox, — что не были четко определены роли руководства, что допускало типы ошибок, которые привели к широкой уязвимости. ONE утверждать, что, выступая в качестве главного инженера, а также руководителя повседневного управления, генеральный директор Марк Карпелес не смог в достаточной степени сосредоточиться на киберугрозах, которые в конечном итоге привели к краху биржи.

Как гласит регламент:

«Каждый Лицензиат должен назначить квалифицированного сотрудника на должность Главного сотрудника по информационной безопасности Лицензиата («CISO»), ответственного за надзор и реализацию программы кибербезопасности Лицензиата, а также за обеспечение соблюдения его Политика кибербезопасности».

Эта должность предназначена для надзора за усилиями по обеспечению цифровой безопасности и упрощения отчетности перед государственным регулятором по мере необходимости. CISO будет отчитываться перед высшим руководством компании цифровой валюты, разрабатывая структуру безопасности и внося изменения по мере необходимости.

Худшие сценарии

Но что делать, когда компания цифровой валюты разваливается? После того, как стало известно, что Mt. Gox потеряла клиентские средства, биржа оказалась парализованной и неспособной функционировать. Можно утверждать, что отсутствие у компании четкой Политика управления катастрофами усугубило проблемы, возникшие как в результате взлома, так и в результате последующей реакции.

Лицензиаты должны установить рабочие процедуры, которые вступят в силу, если катастрофическое событие сделает компанию неспособной функционировать. Это включает в себя определение критических функций, инфраструктуры и персонала, который возьмет на себя управление, если станет возможным крах бизнеса. Получатели BitLicense также должны предоставить комплексное обучение всему соответствующему персоналу, который будет задействован в управлении стихийными бедствиями.

Кроме того, компании обязаны сообщать о любых инцидентах, которые могут представлять риск для операционной целостности. Предложение гласит:

«Каждый Лицензиат должен незамедлительно уведомить суперинтенданта о любой чрезвычайной ситуации или другом нарушении его деятельности, которое может повлиять на его способность выполнять нормативные обязательства или которое может оказать существенное неблагоприятное воздействие на Лицензиата, его контрагентов или рынок».

В совокупности эти требования призваны KEEP работу бизнеса цифровой валюты в случае возникновения внезапных проблем. Хотя это предложение пока не проверено, оно направлено на то, чтобы обойти критические сбои, которые в этом случае сделали бы клиентов еще более уязвимыми к потерям.

Время покажет.

На данный момент невозможно судить, поможет ли предложение BitLicense отразить киберугрозы и защитить потребителей от чрезвычайных ситуаций, подобных тем, с которыми столкнулась Mt. Gox. Как и законы, регулирующие управление банкротствами банков, правила T могут быть по-настоящему проверены, пока не возникнет реальная ситуация.

Тем не менее, по словам суперинтенданта NYDFSБенджамин М. Лоуски, который дал интервьюCNBCВ отношении предложения, те виды регулирования, которые он предлагает, должны быть введены в более широкой финансовой системе. Он подтвердил свою поддержку регулирования и сказал, что банки и другие финансовые компании должны активизировать свои собственные усилия по предотвращению дестабилизирующих взломов.

В интервью Лоуски спросили, смогло бы NYDFS предотвратить или хотя бы сдержать ситуацию Mt. Gox или любую ситуацию, в которой продолжительная атака поставила бы под угрозу средства клиентов. Он ответил, что предложения по кибербезопасности были бы полезны, но предположил, что более широкая финансовая система страдает от тех же слабостей.

Он сказал:

«Мы собираемся пойти и проверить готовность этих фирм в Нью-Йорке к кибербезопасности, чтобы убедиться, что они делают все возможное для предотвращения такого рода хакерских атак. Смотрите, это можно сказать и обо всей нашей банковской отрасли. Мы должны делать это в отношении каждого».

Статуя Свободыизображение черезШаттерсток