Блокчейн для банков: перспективы внедрения и безопасность
Распространение блокчейна в банковской индустрии
В настоящее время технологию блокчейн активно изучают и внедряют крупнейшие в мире публичные компании. Причем не только технологические гиганты — Google, Microsoft, Apple, Samsung, Amazon, IBM, Intel и Oracle, — но и конгломераты типа Alibaba Group, Nestle, Siemens и Walt Disney Company, автомобилестроительные, страховые и ритейл-корпорации и, конечно, банки, финансовые и инвестиционные компании.
В числе самых крупных банков и финансовых холдингов, применяющих блокчейн-разработки, — Industrial and Commercial Bank of China, China Construction Bank, Agricultural Bank of China, Bank of China, JPMorgan Chase, Bank of America, Wells Fargo, HSBC, BNP Paribas, Mitsubishi UFJ Financial Group (MUFG), Banco Santander, Royal Bank of Canada, Goldman Sachs и Morgan Stanley.
Традиционным финансовым структурам нелегко адаптироваться под постоянно меняющуюся технологическую среду, однако преимущества и возможности блокчейна перевешивают. За счет внедрения решений, основанных на этой технологии, платежи можно проводить быстрее, при этом транзакционные издержки сокращаются, а безопасность обмена данными и денежными средствами повышается. В HSBC подсчитали, что благодаря использованию блокчейн-платформы Voltron удалось на 40% сократить операционное время и на 25% — торговые издержки на Forex.
Российские банки и финтех-компании тоже активно исследуют технологию блокчейн, и на площадке Ассоциации ФинТех было реализовано уже несколько пилотных проектов на платформе Мастерчейн, запущенной в прошлом году. В частности, банки-участники АФТ проводят на Мастерчейне пилотные сделки с электронными закладными, цифровыми гарантиями и аккредитивами, были разработаны прототипы проектов по выпуску облигаций и учету поставок. Сейчас мы работаем над переводом банков-участников и депозитариев в промышленный режим учета и хранения закладных. Параллельно готовится промышленная блокчейн-сеть для выпуска цифровых банковских гарантий — здесь список участников значительно расширится, в том числе за счет крупных промышленных холдингов.
Блокчейн vs традиционные системы: что безопаснее?
Вопрос безопасности — один из ключевых для банков в процессе внедрения новых технологий. Блокчейн можно считать защищенной, надежной, прозрачной технологией. В ее основе лежит использование электронной подписи (ЭП) и средств криптографической защиты информации (СКЗИ), которые требуют прохождения процедур сертификации безопасности.
Как раз сейчас блокчейн-платформа Мастерчейн, на которой реализуются банковские сервисы, находится на финальной стадии сертификации в ФСБ РФ по требованиям к СКЗИ — и это беспрецедентный для России опыт сертификации систем такого класса. Мастерчейн — это secure by design система с несколькими уровнями защиты, начиная с обеспечения защиты всех сетевых соединений и включая защиту самих данных. Все конфиденциальные данные хранятся в отдельном хранилище пользователя, доступ к которому предоставляется через средства ЭП, а для обеспечения безопасности используется ГОСТ-криптография. Также в Мастерчейне проработана система контроля доступа в сеть, которой нет у публичных блокчейн-платформ — это еще один важный уровень защиты. Проникнуть в столь хорошо защищенную систему извне практические невозможно, поэтому угрозы могут исходить, в основном, от злоумышленников внутри организации, ее информационных систем. Но у российских компаний есть немалый опыт борьбы с подобными угрозами, в частности, за счет проверок сотрудников, мониторинга информационной безопасности, разграничения доступа к данным и т. д.
Говоря о возможных уязвимостях, нельзя не упомянуть смарт-контракты (умные контракты) — довольно новый инструмент для банковского сектора. По сути, это скомпилированный код в блокчейне. Известен ряд случаев с проведением ICO с ошибками в коде смарт-контрактов публичных сетей, однако подтверждение безопасности в закрытых сетях, таких как Мастерчейн, обеспечивается в том числе и с соблюдением обязательных процедур для сертификации СКЗИ.
Существует несколько векторов атак. Во-первых, на саму логику смарт-контрактов, когда фактически преступник пытается исполнить смарт-контракт, в котором содержится мошенническая транзакция. Яркий пример — атака на основанный на Ethereum автономный инвестфонд The DAO, когда злоумышленник, используя уязвимость в коде, смог перевести себе на счет более 50 млн долларов. Защититься от такой атаки можно, внедрив роль администратора сети, то есть организации, которая будет являться оператором этой сети. В истории с The DAO такой администратор совершил хардфорк и, по сути, откатил транзакцию, тем самым сохранив средства.
Другой вектор атаки идет на перехват трафика в блокчейн-сети с целью попыток создать альтернативную цепочку. Защита от него также понятна: необходимо построить защищенный периметр, доступ в который предоставляется оператором сети. В Мастерчейне такая защита обеспечена, оператором сейчас выступает Ассоциация ФинТех.
По материалам АФТ