בואו ננפץ כמה מיתוסים: כך באמת נראה עולם ה־Custody
פתרונות אחסון והגנה על נכסים דיגיטליים הפכו לנפוצים במוסדות פיננסיים. אבל תפיסות שגויות לגבי הטכנולוגיות שמגנות עליהם עלולות לפתוח פתח לפרצות חמורות
תמונה: Unsplash
בשנים האחרונות העולם הפיננסי עובר שינוי דרמטי: יותר ויותר מוסדות מזהים את הפוטנציאל הגלום בנכסים דיגיטליים, ונכנסים לשוק הקריפטו בצורה רשמית, מבוקרת ואסטרטגית. לא מדובר עוד ביוזמות ניסיוניות, אלא במהלך משמעותי שמוביל את המערכת הפיננסית הגלובלית כולה לעידן חדש של חדשנות, מבוזרות ויעילות. הבשורה הזו מבורכת ומביאה הזדמנויות עסקיות עצומות, אך גם אחריות כבדה. לצד הצורך בהבנה רגולטורית מעמיקה, בניהול סיכונים ובפרקטיקות פיננסיות חדשות, יש אתגר מהותי אחד שעומד במרכז המעבר הזה: אבטחת הנכסים הדיגיטליים מאיומי הסייבר שהולכים וגדלים.
כפי שראינו בפריצה לבורסת Bybit בדובאי לפני מספר חודשים, אבטחת סייבר אינה דבר שצריך להקל בו ראש. מוסדות פיננסיים חייבים לאמץ פתרונות custody שנועדו למנוע תקריות מסוג זה. אך בדיוק בשלב הקריטי הזה – רגע לפני שבוחרים טכנולוגיה או בונים אסטרטגיית אבטחה – רבים נופלים למיתוסים מסוכנים. תפיסות שגויות שמתקבלות כמעט כמובן מאליו עלולות לסכן גם את המוסדות הזהירים והמתקדמים ביותר, ולפגוע לא רק בתשתית הארגונית, אלא גם באמון הלקוחות. הנה חמש תפיסות שכדאי מאוד לשבור, לפני שיהיה מאוחר מדי.
1. קר = מאובטח
ארנק "קר" (Cold Storage) נחשב לסטנדרט זהב בהגנה על נכסים, אך בפועל זו גישה שרחוקה מחסינות מפני סיכונים. המונח מרמז על ניתוק מוחלט מהרשת, אך בפועל ברוב המקרים מדובר באשליה. ארנקי חומרה למשל נדרשים להתחבר לרשת כדי לחתום על עסקאות, היות שכל טרנזקציית בלוקצ'יין מחייבת פלט ממנו. כל ממשק כזה פותח וקטור תקיפה וחושף את המערכת לאיומי סייבר, גם אם החיבור נעשה לפרק זמן קצר בלבד.
כך למשל, ב-2023 נפרץ הארנק הקר של חברת הקריפטו היפנית DMM Bitcoin, ונגנבו ממנו נכסים בשווי של כ-305 מיליון דולר. למרות שמדובר היה במערך Cold Storage, החיבור החוזר לרשת לצורך ביצוע הפעולות חשף את המפתחות למתקפה ממוקדת והוכיח ש"קר" לא בהכרח אומר בטוח.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
2. פתרון Air-gapped מבטיח חסינות
מכשירים שאינם מחוברים לרשת נחשבים בטעות לבלתי ניתנים לפריצה. בפועל, קיימים ערוצי תקיפה כמו התקני USB, קודי QR, תקשורת Bluetooth או מדיות פיזיות שנחשבות למזוהמות.
פתרונות air-gapped (מנותקים פיזית) אינם פטורים מסיכונים, הם פשוט מעבירים את נקודת התורפה למקום אחר וכולם מצריכים התחברות לאינטרנט, ולו לרגע, עבור קבלת הדאטה הנדרש מהבלוקצ'יין. גילוי נאות, זה מה שלמעשה הביא להקמת GK8, כאשר שחר, ה-CTO ושותפי המייסד ואני הצלחנו לפרוץ לארנק "קר" שהוגדר אז כארנק המאובטח ביותר בעולם.
3. חיבור רגעי לאינטרנט לא מהווה סכנה
חיבור זמני לרשת לצורך השלמת הפעולה, אפילו בן שניות בודדות, נחשב לעיתים זניח. בפועל, האקרים מיומנים יכולים לנצל בדיוק את אותם רגעים באמצעות תקיפות כמו man-in-the-middle והחדרת תוכנות זדוניות וכך לתמרן או לבלום טרנזקציות. בפועל, גם חשיפה רגעית יכולה להוביל לנזק ארוך טווח.
לדוגמא אפשר לראות את המקרה של Atomic Wallet ביוני 2023, אז חיבור רגעי לשירותי צד שלישי התגלה כווקטור דרכו הוזרקה תוכנה זדונית שהובילה לגניבה של מעל 100 מיליון דולר. על פי הדיווחים, השימוש בתשתיות לא מאובטחות והאינטראקציה הקצרה עם הרשת היו מספיקים כדי לאפשר מתקפה על שרשרת האספקה.
4. כל פתרון cold custody עומד בדרישות רגולציה
הרגולציות על נכסים דיגיטליים הולכות מתפתחות, ועם ההתפתחות מגיע גם פיקוח מוגבר על נושא האבטחה. עבור מוסדות פיננסיים, פריצה אינה מסתכמת באובדן נכסים בלבד. היא עלולה לגרום לכשלי תאימות, פגיעה במוניטין ואובדן לקוחות. לא כל ספקי האחסון הקר מסוגלים לעמוד בדרישה הכפולה של הרגולציה ואיומי הסייבר הממשיים.
בעוד שחלק מהרגולציות בעולם כבר דורשות שמירב נכסי המוסדות יישמר באחסון Offline, התעשייה לעיתים מנצלת את אי-הוודאות בהגדרת המונח. פתרונות רבים המסומנים כ"קרים" משווקים כעמידים לתקנות, אפילו כשהם כוללים חיבור חלקי או מדי פעם. המונח "אופליין" רחב דיו כדי לאפשר פרשנויות שונות, וזה בדיוק המקום בו נוצרות נקודות הסיכון. כשפתרונות "כמעט לא מקוונים" עוברים מתחת לרדאר, המוסדות נשארים חשופים לאיומים שהם חשבו שהתגוננו מפניהם.
חברת QuadrigaCX הקנדית, שפעלה לכאורה עם אחסון "קר", קרסה לאחר מותו של המנכ"ל ששמר את המפתחות על לפטופ אישי בלבד. לאחר חקירה התברר כי לא היה מדובר באחסון אופליין שעמד בתקנים רגולטוריים והמוסד כולו קרס עם חובות של כ- 190 מיליון דולר לקהל הלקוחות.
5. לא ניתן לשלב בין אבטחה גבוהה לתפעול שוטף
הנחה רווחת היא שפתרונות מאובטחים במיוחד פוגעים ביעילות. אך טכנולוגיות מתקדמות כמו Impenetrable Custody (הגנה בלתי חדירה) מוכיחות אחרת: ניתן לייצר ולחתום על טרנזקציות בלוקצ'יין באופן מלא מבלי לסכן את המפתחות הפרטיים (Private Keys) בחשיפה כלל, וללא קבלת קלט דיגיטלי בשום שלב. התוצאה היא אבטחה מירבית ללא פגיעה בתפעול השוטף.
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
הפתרון האידיאלי
אז מה עושים עם כל האילוצים האלו? הגישה שאני ממליץ עליה היא מודל אבטחה היברידי: החזקת הרוב המכריע של הנכסים במערכת Impenetrable Custody שאינה מקבלת אף קלט דיגיטלי, לצד אחסון של אחוז קטן מהנכסים בארנק חם בטכנולוגיית MPC – Multi Party Computation לחישוב רב־צדדי, לניהול תפעול יומי יעיל ובטוח. ככל שמפצלים את המפתח לחלקים מרובים יותר, כך קטן הסיכון והאיזון נשמר.
לסיכום, מנהלי נכסים דיגיטליים, CISOs ובכירים בתחום הפינטק נדרשים לבחון מחדש את הנחות היסוד שעליהן מושתתת אסטרטגיית האבטחה הארגונית שלהם בתחום ה-Custody ולוודא כי הן מותאמות לאיומי הסייבר המתפתחים. פתרונות שמוגדרים כטובים כבר לא מספקים, ובעת שבה כל תקיפה עלולה להפוך לכותרת בעיתון, אסור להסתפק בפשרה. Custody מאובטח הוא לא רק טכנולוגיה, הוא בסיס לאמון, לעמידה ברגולציה ולצמיחה עסקית בטוחה.
ליאור לאמש הוא מייסד ומנכ"ל חברת הפינטק GK8 by Galaxy, המפתחת פלטפורמה לניהול ולהגנה של נכסים דיגיטליים עבור מוסדות פיננסיים
