Nowy raport ISACA i AICPA & CIMA nt. ryzyk związanych z technologią blockchain

Blockchain może przynieść przedsiębiorstwom wiele korzyści. Warto jednak pamiętać, że technologia ta nie ma jednego uniwersalnego zastosowania i może stwarzać własne ryzyka, którymi należy odpowiednio zarządzać – wynika z raportu opracowanego przez ISACA oraz AICPA & CIMA Blockchain Risk: Considerations for Professionals.

Nad dokumentem pracował zespół roboczy Joint Blockchain Working Group utworzony przez ISACA oraz AICPA & CIMA. Raport Blockchain Risk, który nadaje kontekst ryzykom związanym z wdrażaniem i funkcjonowaniem technologii blockchain, podzielono na pięć kluczowych zagadnień: zarządzanie, infrastruktura, dane, zarządzanie kluczami kryptograficznymi i inteligentne kontrakty. 

– Wiele podmiotów chce wykorzystać potencjał technologii blockchain, by przeprowadzić transformację swojego biznesu lub przekształcić działalność operacyjną – mówi Dustin Brewer, ISACA Senior Director, Emerging Technology and Innovation oraz członek ISACA - AICPA & CIMA Joint Blockchain Working Group. I dodaje: – Podczas gdy zalety korzystania z technologii blockchain są ogromne, praktycy powinni się upewnić, że w pełni rozumieją wszystkie rodzaje ryzyka, które się z nią wiążą, aby nie narażać swojej firmy z powodu niedostatecznego zabezpieczenia jej.

Jak wskazuje raport Blockchain Risk, szerokie spektrum praktyków – od specjalistów ds. finansów i audytorów IT po specjalistów ds. cyberbezpieczeństwa oraz osób na stanowiskach kierowniczych – powinno zgłębić ryzyka związane z technologią blockchain, w tym:

• ryzyko związane z zarządzaniem i projektowaniem: brak protokołów dla niepotwierdzonych transakcji może umożliwić przetwarzanie nieuczciwych transakcji, które wcześniej zostały odrzucone, stanowiąc zagrożenie dla sieci;
• ryzyko związane z zarządzaniem infrastrukturą lub protokołami: instrukcje warunkowe w kodzie protokołów lub inteligentnych kontraktów mogą spowodować zapętlenie, które zagraża bieżącemu działaniu i integralności sieci;
• zarządzanie kluczami: niewystarczający model uwierzytelniania wieloskładnikowego przy generowaniu kluczy/seedów może narazić na ryzyko zastosowanie ich w przyszłości do przechowywania i dokonywania transakcji na aktywach kryptograficznych. Klucze te mogą zostać złamane np. techniką brute force, co doprowadzi do utraty aktywów.

– Bardzo ważne jest, by wszystkie podmioty korzystające z technologii blockchain rozumiały, że w tej przestrzeni występują wyjątkowe rodzaje ryzyka i konieczne jest ich wczesne zidentyfikowanie – mówi Diana Krupica CPA, Lead Manager, Emerging Assurance Technologies Assurance and Advisory Innovation, AICPA & CIMA. – Korzystanie z zasobów takich jak zaprezentowana w naszym raporcie macierz ryzyka (ang. risk matrix) oznacza, że podmioty będą świadome możliwych problemów, co pozwoli im zaprojektować odpowiednie procesy i wdrożyć niezbędne narzędzia kontroli, aby maksymalnie ograniczyć ryzyka i umożliwić odniesienie sukcesu – dodaje.

Dokument zawiera również obszerną listę dodatkowych zasobów dotyczących technologii blockchain, których autorami są ISACA oraz AICPA & CIMA, np.:

• Blockchain Framework and Guidance
• Blockchain Preparation Audit Program
• Blockchain and Beyond Learning Programs
• Blockchain Universal Glossary

Raport Blockchain Risk dostępny jest na stronach: www.isaca.org/bookstore/bookstore-wht_papers-digital/whpbrc i https://future.aicpa.org/resources/download/blockchain-risk-considerations-for-professionals.