林志勳/Cardozo Law School J.D. Candidate、紐約州金融服務署 (DFS) 實習生
隨著區塊鏈及加密貨幣的應用日益普及,相關的資安問題也逐一浮現,尤以今年1月Coincheck 遭駭並損失近5.3億美元的事件最受關注。金管會將自5月起受理監理沙盒的試驗申請,預期將有進入沙盒的新創公司以區塊鏈或加密貨幣技術為基礎試行商用。
因此,除了注重洗錢防制和風險承擔等層面,金管會亦應審酌在輔導新創的過程中如何協助業者建立資安防護及沙盒內通用的資安標準,以期業者在離開沙盒後即具有面對資安問題的能力。根據筆者在紐約州金融服務署 (New York State Department of Financial Services,下稱DFS) 實習並協助審核BitLicense的經驗,其資安標準或可供金管會參考,建構一完整且適度嚴謹的適用準則。
DFS 的BitLicense (23 NYCRR 200) 適用於紐約州內與加密貨幣相關的活動,因此受規範者除了提供加密貨幣交易及兌換的交易所外,亦包括提供消費者儲存或管理服務的各類機構。本文將簡略討論在BitLicense 下受規範業者擬定資安政策時應考量的幾個重點。
以資安政策而言,雖然政策的五大原則係載於200.16(a),但審酌的細節經常在200.16(b)(2) 的資訊管理及分級及200.16(b)(11) 的第三方服務。
資訊管理及分級的重點在於業者是否能適當地辨別並保護其持有的消費者敏感資訊。雖然DFS 未在BitLicense裡明確定義 「敏感資訊」 及其範圍,但一般包括Gramm-Leach-Bliley Act 所稱之 「足可辨識特定人士身分的非公開資訊」,諸如生日、社會安全號碼、銀行帳戶等,如果消費者為專職交易的公司機構,則為與其相關且未公開的營業資訊。此外,與消費者權益直接相關的資訊,像是其持有的法定及加密貨幣數量、交易紀錄、付款方式,亦常被歸類於敏感資訊的範疇。業者就此類資訊通常給予最高等級的保護,措施包括針對欲存取敏感資訊的消費者端為一重或多重的身分驗證 (multi-factor authentication)、業者內部以職級劃分的分層存取管制、和第三方服務商合作加密此類資訊、以及完整備份該資訊並分別保管於離線硬碟等。其中,前三項側重於技術細節,關鍵在業者或其雇用的資安公司是否在客觀上有足夠的技術提供所需的資安防護;第四項則著重於業者內部的資安政策是否健全,有賴法務團隊擬定可相容於200.17災害應變計畫的資安政策,以期在資安事件發生時能維持基礎營運。
值得一提的是,雖然實務上不可能完全杜絕資安風險,但採取單一或多種措施經常能有效減緩資安事件帶來的衝擊。以Coincheck為例,有論者認為即使Coincheck僅以冷錢包 (cold wallet) 儲存虛擬貨幣的方式當作唯一的安全措施,該措施應可大幅降低遭駭客竊取的虛擬貨幣數量、進一步減少損失。
另一方面,業者與第三方服務商所約定的服務內容亦會影響業者保護及管理其敏感資訊的措施。筆者評估第三方服務時通常著重兩點: 1. 業者與第三方服務商的權責劃分,2. 對資安事件的協調應變。以權責劃分而言,應注意第三方服務商是否有權限存取業者所持有的敏感資訊。若第三方服務商可存取該類資訊,則第三方服務商至少應具備與業者相同或符合BitLicense 要求的資安措施,且須揭露第三方服務商是否得將所存取資訊用於其他用途、及該用途是否有危害資訊安全的疑慮。
最後,業者與第三方服務商就資安事件的協調應變重點應在雙方是否有適當的通報機制。 BitLicense 200.17(d) 概括要求業者應即時通報任何會影響營運或市場狀況之情事,此類情事自然包括資安事件,諸如法定或加密貨幣被盜或用戶個資外洩等。雖然該項規定以 「即時」 作為通報標準,但實務上多採推定通知 (imputed notice) ,亦即以第三方服務商知悉資安事件之時點起至一合理時間內作為業者應知悉並通報之時。若以署內於金融機構網路安全規定 (23 NYCRR 500) 所採用之72 小時為參考,則業者於第三方服務商發現資安事件起72 小時內即須通報,對業者而言可謂一不小的壓力。因此,於審酌業者所雇用的第三方服務內容時,亦應詳究業者是否有約定第三方服務商應即時告知業者各類型資安事件,方能降低第三方服務商已知悉但未告知業者、致使業者逾時通報並延遲補救之情事。
科技雖能促進發展,但伴隨的資安風險亦因攻擊手法的變化而防不勝防、無法完全杜絕。除了一月的Coincheck 事件外,今年三月亦有一名15 歲的駭客以滲透供應鏈 (supply-chain attack) 的方式破解由法國公司Ledger 為儲存加密貨幣而生產的硬體錢包。在資安事件層出不窮的今日,唯有謹慎地規劃資安措施,方能系統性的降低風險、並在危害發生時將損失降到最低。
訂閱《蘋果》4大新聞信 完全免費
