Всякий раз, когда происходит глобальное финансовое бедствие, будь то на горизонте или уже случившееся, можно ожидать шквала регулирования, чтобы остановить поток беспорядков. Еще в 1720 году в Великобритании был принят Закон о пузырях, призванный регулировать фондовый рынок после того, как фондовый пузырь Компании Южных морей лопнул на фоне обвинений в инсайдерской торговле, и охладить раздутые рынки. Великая депрессия привела к принятию Закона о чрезвычайных банковских ситуациях 1933 года в США, а кредитный кризис 2008 года вызвал принятие закона Додда-Франка в США, а в Европе - MiFID и ESMA. Регуляторам не видно конца, потому что, пока сохнут чернила на одном законодательном акте, появляется другое событие или инновация, требующая внимания.
Регуляторы всегда будут находиться в колесе перемен, никогда не достигая того момента, когда они смогут заявить о своей победе над ошибающимися рынками, и, возможно, в следующем десятилетии перед ними встанут самые сложные задачи. В то время как они все еще работают над традиционными рыночными реформами, теперь им предстоит обеспечить защиту пользователей расширяющейся экосистемы Web3 - определяемой блокчейном, децентрализованными финансовыми (DeFi) и централизованными финансовыми (CeFi) платформами, включая цифровые активы, - от эксплуатации преступниками и другими недобросовестными субъектами.
Широкий охват DORA
Недавно Европейский совет одобрил Закон о цифровой операционной устойчивости (DORA) - это последнее дополнение к целому ряду нормативных актов, которые в настоящее время находятся в процессе разработки. DORA направлен на консолидацию и гармонизацию основных требований кибербезопасности в отношении цифровой устойчивости в финансовом секторе. Согласно DORA, под действие закона подпадает 21 тип финансовых учреждений, включая такие крупные предприятия, как банки, страховые компании и пенсионные фонды, а также более мелкие поставщики цифровых электронных денег, эмитенты токенов и поставщики криптоактивов.
Положение о DORA является частью более широкого европейского пакета мер политики в области финтеха, который включает в себя предлагаемое положение о рынках криптоактивов (MiCA) и положение о технологии распределенных реестров (DLT). Ввиду недавнего падения FTX, оно появилось как нельзя кстати, поскольку последствия краха как раз и призвано смягчить данное законодательство. По своей сути DORA направлен на то, чтобы компании могли справиться с кибератаками и операционными сбоями путем внедрения мер по управлению, кибербезопасности, управлению рисками ИКТ и информированию о происшествиях.
Новые законы на подходе
DORA и MiCA - не единственные законодательные акты, которые вступают в силу. У нас есть консультационные документы по цифровым финансовым активам (DFA), разрабатываемые независимо друг от друга США и Великобританией, Закон о цифровых рынках (DMA), который больше ориентирован на интернет-бизнес, Закон о цифровом управлении (DGA), который создает основу для повышения доступности и повторного использования данных в Европейском союзе, и AI Reg - предложение по регулированию, цель которого - предоставить разработчикам, внедренцам и пользователям четкие требования и обязательства в отношении использования искусственного интеллекта. Все эти нормативные инициативы имеют фундаментальные возможности для изменения ситуации, и цель состоит в том, чтобы они были приняты к 2030 году. Однако эта дата кажется несколько пессимистичной, поскольку стремительные темпы развития инноваций, скорее всего, сделают этот срок неактуальным.
Как и все нормативные процессы, DORA прошел через множество проектов, и его недавнее утверждение приветствовали все участники отрасли. В последнее десятилетие киберугрозы растут с угрожающей интенсивностью, и это оказывает огромное влияние на мировую экономику, а также на организации и отдельных людей. Хотя, по прогнозам Gartner, в 2023 году организации потратят почти 6,69 млрд долларов США на облачную безопасность, что почти на 27% больше, чем в прошлом году, отрасль Web3 все еще не вносит свой вклад в решение потенциальной проблемы киберугроз на сумму 10 трлн долларов США, с которой мы можем столкнуться к 2025 году. Хотя DORA является прекрасной основой, предлагаемые правила несколько двусмысленны и ни в коем случае не полны. Например, он не устанавливает, сколько компании должны тратить на кибербезопасность, и не совсем ясно, какие методы должны применяться для достижения более высокого уровня защиты от угроз.
Затыкание отверстий
Самые серьезные проблемы, требующие внимания, включают распространение удаленных устройств, Интернета вещей (IoT), удаленной работы, социальных сетей и облачных серверов - все они могут выступать в качестве единых точек отказа в системе безопасности. В прошлом компании могли ограничить свою кибербезопасность рамками организации, но теперь этих границ больше не существует, и компании уязвимы для атак буквально из тысяч точек доступа.
Теперь DORA будет привлекать компании к ответственности за нарушения, вызванные слабой безопасностью, поэтому будет проведена большая работа по снижению этих угроз. Однако если организации хотят победить киберпреступников в их собственной игре, использование старых технологий просто не сработает. Компаниям необходимо изменить игру, а это означает совершенно иной подход к технологиям.
К сожалению, DORA не идет достаточно далеко, чтобы стимулировать компании к внедрению новых передовых технологий. Законодательство твердо стоит на традиционных и централизованных решениях по кибербезопасности, которые, как было доказано, неэффективны для защиты экосистем Web2 и Web3. Главный аргумент против существующих решений по кибербезопасности заключается в том, что они не только сильно устарели, а возраст некоторых технологий составляет 40 лет, но и традиционные решения по кибербезопасности не были разработаны для интеграции с Web3. По сути, компании используют централизованные технологии для снижения рисков на децентрализованных рынках.
Децентрализованная сеть кибербезопасности
"Cybersecurity mesh" - целостный подход к повышению уровня кибербезопасности организаций - недавно был отмечен компанией Gartner как последняя тенденция. Однако нам необходимо перевернуть представление о децентрализованной кибербезопасности, которая в режиме реального времени защищает устройства от киберугроз, обеспечивая соблюдение стандартов кибербезопасности во всех сетях. Технологические компании, занимающиеся децентрализованной кибербезопасностью, должны сосредоточиться на "подходящих по назначению" решениях для кибербезопасности, которые способствуют более надежной тактике предотвращения киберпреступлений. Они могут создавать доказательства киберстатуса всех устройств, сетей и сред в режиме реального времени с нулевым уровнем знаний, используя ИИ роя и технологию блокчейн. Преимущество такого подхода заключается в том, что они смогут доказать аудиторам и компаниям состояние безопасности в конкретный момент времени. Решение также может быть полезно для судов, чтобы помочь им анализировать данные судебной экспертизы.
Самая большая угроза - люди
Существует риск, что нормативные акты создадут культуру "для галочки" среди компаний, которые заявят, что они соответствуют требованиям, но не решат самую большую проблему - отсутствие интеграции менталитета кибербезопасности среди всех своих сотрудников. Если защита границ компании возлагается на ИТ-отдел, то это означает, что самая серьезная точка отказа упускается из виду. По оценкам, более 90% всех нарушений безопасности исходит от отдельных сотрудников организации. Таким образом, кибербезопасность - это не только технология, но и вооружение сотрудников мышлением и инструментами для защиты.
Правоприменение нуждается в ресурсах
Когда устанавливаются правила, они должны соблюдаться. Для этого необходима большая сеть квалифицированных специалистов, которые могут отслеживать и оценивать организации, не соблюдающие правила, а также вспомогательная инфраструктура для обеспечения соблюдения правил. Огромное количество организаций, которые затрагивает это законодательство, в сочетании со сложными глобальными сетями, которые часто лежат в основе организаций Web2 и Web3, создадут для регулирующего органа проблему человеческих ресурсов.
Единственное приемлемое решение - это сочетание саморегулирования с использованием автоматизации, блокчейна и внешнего регулирования, когда все заинтересованные стороны участвуют в мониторинге отрасли. Это не является невыполнимой ситуацией, поскольку каждая сторона выиграет от более безопасного ландшафта, свободного от киберугроз.
Повышение доверия
Еще один ключевой вопрос, который необходимо решить в экосистеме кибербезопасности, - это обеспечение того, чтобы данные, поступающие в системы из различных источников, были известны и заслуживали доверия. В настоящее время процессы, генерирующие данные, не пользуются доверием. Децентрализованная кибербезопасность использует эти единые точки отказа, превращая их в узлы для распределенной проверки. Это создает экспоненциальную устойчивость цифровых операций по сравнению с локальной или внутренней проверкой - т.е. ни один плохой агент не сможет подделать настройки или код. Это устраняет уязвимость в сети.
Именно здесь децентрализованная сетка кибербезопасности на основе блокчейна действительно вступает в свои права, поскольку она впервые позволяет нам доверять самому процессу проверки. Она также объединяет все устройства на уровне кибербезопасности и управления. Это сводит на нет недостатки единой точки отказа, присущие современным централизованным системам кибербезопасности. Кроме того, она создает интеллектуальную сеть доверия с помощью ИИ Swarm, который обнаруживает изменения в поведении и уязвимости практически в режиме реального времени, потенциально до того, как хакеры смогут заразить и захватить всю сеть.
В этом и заключается суть DORA. Речь идет о сохранении истины и доверия, а также об устранении единых точек отказа в недоверенных средах. Пока мы не используем децентрализованную кибербезопасность для устранения уязвимостей Web3, мы будем продолжать наблюдать тот же высокий уровень киберпреступности, который в настоящее время поражает блокчейн и препятствует массовому принятию криптовалюты.
Источник
