29 января 2024 г.

Окончание, начало тут и тут

Преобразованные в NFT подписи, счета, страховые полисы, юридические и другие документы, а также видео- и аудиофайлы не получится подделать даже у самого изощренного мошенника, говорит Антон Немкин, член комитета Госдумы по информационной политике, информационным технологиям и связи.

Однако в реальности все несколько сложнее: взломать, как показывает практика, можно всё — блокчейн-решения не являются исключением. Вариантов взлома достаточно много. У технологии есть свои проблемы; кроме того, следует помнить, что и блокчейн-решения работают на базе платформ, которые — как и любые другие цифровые инструменты — тоже вполне могут иметь уязвимости.

Количество атак на блокчейн-проекты в 2022 году вдвое превысило число атак за 2021 год, отмечали Игорь Агиевич и Андрей Бачурин, специалисты Positive Technologies по безопасности распределенных реестров. Итоги прошлого года пока не подведены, но интерес хакеров к направлению сохраняется, а поиск технических вариантов реализации атак продолжается.

Блокчейн и смарт-контракты  под пристальным вниманием киберпреступников

Блокчейн-решения требуют обеспечения безопасности, причем для выполнения нужного спектра работ приходится искать специалистов с профильными компетенциями, которые по понятным причинам пока относительно редки. С распространением блокчейн-решений — от смарт-контрактов до ЦФА — будет расти интерес к ним со стороны киберпреступников, которые также будут нарабатывать профильную экспертизу.

Смарт-контракт — это софт, который может быть взломан. Вариантов для атак довольно много: можно использовать уязвимости в собственном коде смарт-контрактов, а также, например, используемых библиотек.

Особо популярны у кибепреступников атаки систем, расположенных «на границе» блокчейнов. В качестве примера можно привести блокчейн-мосты — приложения, обеспечивающие передачу данных между разными блокчейнами — которые по понятной причине являются лакомыми местами для хакеров. В позапрошлом году зафиксирован первый случай успешного взлома криптомата — smart-терминала, позволяющего выполнять операции с криптовалютой — напоминают в Positive Technologies.

Однако напомним, что традиционные базы данных тоже можно «хакнуть», причем как техническими средствами, так и методами «социальной инженерии». Блокчейн-платформы благодаря особенностям технологии устойчивы к взломам, а также — к давлению коррупции, административного ресурса и прочим рискам, что само по себе уже способно сделать их привлекательными.

ИБ готова к вызовам в сегменте

Нужно приложить немало усилий, чтобы решения на блокчейне стали действительно устойчивыми. Российские компании давно работают в данном направлении, накапливая экспертизу и представляя продукты. Например, еще в 2019 году был создан сервис Kaspersky Enterprise Blockchain Security, позволяющий проводить оценку безопасности смарт-контрактов и кода блокчейна, а также анализ защищенности приложений.

Эксперты в области ИБ отмечают серьезное отношение игроков индустрии к обеспечению безопасности блокчейна и других криптоинструментов. В позапрошлом году общий ущерб от взломов криптопроектов составил более 3,5 млрд долл., отмечают в РТ, так что все основания для серьезного отношения, согласитесь, присутствуют.

В частности, становится нормой аудит смарт-контрактов, в том числе и в плане обеспечения безопасности. Возникают компании со специализацией на проверке безопасности кода смарт-контрактов, расположенного в блокчейне. Но пока таких компаний мало, и их услуг недостаточно для покрытия всех потребностей в аудите защищенности криптопроектов, считают в Positive Technologies. Специфической формой такого аудита можно считать появление задач для анализа защищенности криптопроектов на площадках bug bounty.

Блокчейну пророчат большое будущее. В перечне основных технологий, которые определяют развитие человечества, Герман Греф, Председатель Правления Сбербанка, упомянул блокчейн наряду с «искусственным интеллектом», «Новым интернетом» (Web 3.0), высокоскоростным доступом (5G/6G), «облачными» вычислениями, квантовыми технологиями и робототехникой.

Блокчейн и образование

ИТ-индустрии и всему национальному рынку РФ нужны профессионалы в области блокчейна, смарт-контрактов, ЦФА и других новых направлений. Например, на горизонте 5-10 лет одной из самых востребованных профессий в маркетинге будет блокчейн-маркетолог, по данным «СберМаркетинга». Такие специалисты должны разбираться в особенностях работы с DAO (Decentralized Autonomous Organization), полностью работающих на блокчейне, а также уметь составлять смарт-контракты.

Важная компетенция для таких блокчейн-маркетологов, как и для других специалистов завтрашнего дня — умение создавать ИТ-продукт, уверен Анатолий Лукашин, директор управления интегрированных коммуникаций в Сбербанке: «Директора по маркетингу будут управлять не только классическими командами, но и быть product owners».

Заметим, что российское образование уже начинает подготовку специалистов по блокчейну, работая на опережение. Необходимый набор глубоких и качественных знаний — а нужно уметь программировать, владеть основами веб-разработки, иметь представление о сетевых и криптографические протоколах и пр. — не получить на краткосрочных курсах, нужно системное образование по выбранному профилю. Соответствующая учебная программа была разработана университетом «Синергия». Уверенность в том, что востребованность профиля «специалист по блокчейну» будет расти, высказал Александр Захаров, декан факультета блокчейна и криптовалют в университете «Синергия».

Ряд образовательных проектов по повышению квалификации также получили элементы, касающиеся рассматриваемой тематики. Например, в МГТУ им. Н. Э. Баумана запущен курс профессиональной переподготовки для заместителей генеральных директоров по информационной безопасности по требованиям Указа Президента РФ № 250 от 1 мая.2022 г. «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Курс разработан кафедрой «Защита информации» совместно с Angara Security. Аспекты применения блокчейн-технологий в госуправлении будут рассмотрены в рамках модуля данного курса, который подготовлен Романом Сычевым, директором по развитию цифровых сервисов Angara Security, наряду с IoT/IIoT, «облаками», AI, квантовыми коммуникациями и другими прорывными технологиями.

Вместо заключения

Спрос на технологии распределенного реестра, среди которых наибольшей популярностью пользуется блокчейн, в российской экономике продолжает расти и к 2030 году достигнет 1 трлн руб., как выяснили исследователи Института статистических исследований и экономики знаний (ИСИЭЗ) НИУ ВШЭ. Технологии распределенного реестра уже активно используют для хранения значимой информации, организации эффективного и быстрого электронного документооборота в финансовом секторе, энергетике, сфере здравоохранения, логистике и т. д.

В России блокчейн-разработки находятся на мировом уровне, говорит Александр Нам, директор Лаборатории блокчейн в «Сбербанке»: «Я уверен, что в ближайшие годы подобные решения будут внедряться во всех сферах жизни: не только в финансовом секторе, но и в логистике, медицине, транспорте и так далее». Решения на базе технологии блокчейн востребованы и могут принести большую пользу во многих сферах деятельности как для корпораций, так и для физических лиц, отметил г-н Нам.

«Несмотря на угрозы и вызовы безопасности, стоящие перед блокчейн-индустрией, она продолжит развиваться в 2024», — уверен Илья Дружинин, руководитель отдела безопасности распределенных систем в Positive Technologies. Однако для смарт-контрактов и других инструментов на блокчейне нужны не только специалисты, умеющие создавать соответствующие решения и внедрять их в действующие бизнес-практики, но и обладающие нужными компетенциями специалисты по инфобезопасности.

Источник: Александр Маляревский, внештатный обозреватель IT Channel News