ISACA Journal
Volume 5, 2,017 

Translated Articles 

區塊鏈:辨識分散式分類帳的風險 

Filip Caron, Ph.D. 

區塊鏈技術,常用來推動下一波數位基礎設施及流程創新,且其正在迅速發展成熟。而在啟動區塊鏈驅動的計畫時,五個IT 的風險具有重要意義:網絡和資訊風險,架構和設計風險,IT 合規風險,第三方和供應商風險以及整合風險。

區塊鏈允許多個實體在交易數據上達成共識,即單一真相的版本、不需要可信的中央機關或公證功能。而該技術是一種新的數據記錄範例,允許多個潛在性的未知或不可信的網絡實體共享及附加到數位分類帳。其在數位分類帳中數據的完整性和機密性是被加密保護的。

三個核心功能 - 不變性、透明度和自主性,推動了區塊鏈破壞各行業現有的產品,流程和商業模式的能力。而所有網路實體都可以使用單一事實(即不可變和最新數據),減少了實體之間的資訊不對稱,並且可以避免不同資訊之間昂貴的協調活動。 例如,區塊鏈的解決方案可以提供患者病史的完整概述 – 這在緊急情況下是產生顯著優勢 - 而不是像現在所做的那樣在多個醫療機構之間建立住房記錄。區塊鏈技術還確保數據記錄符合雙方協定的條件,從而實現中央驗證實體的非中介化。

現今,很難不被那些具有變革性的東西所吸引。 但話雖這麼說,技術驅動的機會去改善流程效率和效用很少沒有挑戰和風險。因此本文旨在確定在開發區塊鏈驅動的解決方案時應考慮的IT 風險,並提供最小化此風險的策略。

網路和資訊風險

網絡攻擊可能會損害區塊鏈中記錄數據的機密性、完整性和可用性。駭客利用技術漏洞所造成損失或傷害無所不在,然而還沒有證據能夠表明區塊鏈的實施會有所不同。 此外處理網路事件的應對策略通常也還不足夠。 例如,在2016 年6 月,一個基於以太坊區塊鏈的分散式自治組織 DAO,遭受了一次網絡攻擊,因其部署了一系列的漏洞,導致資金損失三分之一(約 5000 萬美元)。1 雖然在攻擊前幾天提出了安全性更新,但既沒有安全團隊也沒有適當的程序來採取行動。相反地,擬議的安全性更新是需要有正式的投票程序,且需 23,000 名符合條件的選民通過,如同雙方所商定的規定條件。

在寫入區塊鏈應用程序的端點上也可以找到安全漏洞,並安全地存儲用數字簽名的加密密鑰。比特幣交換Mt.Gox(損失4.5 億美元)和Bitfinex(損失7200 萬美元)的網路事件是網路攻擊的重要例子,這些網絡攻擊的核心是破壞網路端點的IT 基礎設施。

而可以幫助減輕這種風險的網絡安全措施包括:

  • 確認利害關係人以及內部夥伴關係
  • 發展包含目的、目標的願景、任務以及價值聲明。這項資訊為整個隱私政策發展歷程與以及隱私保護章程的參考與依據。
  • 策動事件回應流程,關注於事件分析、抑制、根絕及恢復。在準備這些流程時,組織還應考慮與專門的網路緊急應變小組的溝通政策和安排。上述有效事件應變策略的詳細資訊可以在NIST 的特刊(SP) 800-61 修訂版2 中查看。3

架構和設計風險

在開發區塊鏈解決方案時,必須做出各式各樣的技術和組織設計的決策。而 這些設計的選擇可能會對解決方案的性能產生重大影響,進而影響商業目標的實現。

區塊鏈解決方案的技術設計可能與功能要求不一致。共識協議的選擇,是用於驗證以區塊鏈為基礎之分類帳所提出的補充建議,也是一種經常被引用的設計選擇,這會影響運營能力。雖然VISA 每秒可處理約56,000 筆交易(2015 年報告),4 但比特幣的共識協議將支付系統限制為每秒僅七筆交易。5

在“代碼即法律”環境中,編碼規則集的完整性是最重要的。不完整的規則集可能允許不良的但非禁止的用戶行為。戰略投票的激勵措施已經在DAO 的代碼中暴露出來,這種激勵措施可以防止基於真誠的偏好性投票,以及可能對組織的投資決策產生重大之影響。6

此外,由於技術的發展,設計可能變得不合適。加密系統可用於確保區塊鏈中存儲數據的完整性和機密性,然而量子電腦的科技發展可能對這些當前最先進的加密系統帶來可信的威脅。這些加密系統依賴於當前傳統計算幾乎不可能解決的數學問題。

組織設計決策包括存取限制和角色區分。 區塊鏈解決方案的存取限制是可預先選擇的,選擇可信任的節點集(即允許的區塊鏈)具有重要的優勢,像是與信任的參與者一起工作,可達到更有效的共識協議及更高級別的隱私。允許區塊鏈更適合於建立正式的治理結構和程序,以便在發生事故時做出反應並積極管理編碼規則。相比之下,公共區塊鏈對所有人開放,所有人都可以參與和審查編碼規則。因此,公共區塊鏈傾向於降低參與的障礙,並且可以保護用戶不受開發者願意控制的影響。

區分參與者的角色和責任(例如僅允許受信任的機構在以區塊鏈為基礎的土地登記中執行房地產的初始登記)這是合宜的。 一些作者還表示,區塊鏈可能不是最合適的技術體系,其中所有參與者都是在同一真實世界實體操作IT 系統。7

可以減緩風險的架構和設計之方法包括:

  • 建立需求和工程流程,包括商業功能、技術和合規性要求的有效啟發、分析和優先權。正式確認和及時更新需求規範被視為最佳做法。可以在COBIT 5 的規範中找到指南, 其用建立、獲得與建置(BAI)領域的BAI02 管理需求定義的過程。
  • 採用安全設計的重點在區塊鏈解決方案的開發。技術措施包括限制對區塊鏈的存取(即,創建許可的區塊鏈)和建立角色區別(例如,支持使用可信記錄驗證器或資產註冊商)。商業措施可包括嚴格的入職流程和確保地理擴展。
  • 對區塊鏈解決方案進行嚴格的代碼審查和驗收測試。
  • 評估可能支持或影響來商業目標實現的技術演變。
  • 建立正式的治理結構和程序,以處理戰略性的長期演變(例如技術更新或編碼規則的修訂)以及需要在短期內解決的事件。

IT 合規性風險

隨著法規激增和利益相關者的期望增加,違反法規和產業標準的風險也跟著增加,這些風險都可能直接影響參與者的財務狀況、組織和聲譽。關於共識機制和資訊安全的合規性挑戰已經確定了。根據最終清算指令(SFD)的規定,金融業對交易的絕對性確定有嚴格的要求。而基於計算工作的分佈式共識協議,例如基於比特幣的工作量證明協議,通常僅提供概率性確定。從技術上來講,交易永遠不是真正的最終交易,因為總是有可能創建一個不包括在交易區塊的更長的鏈。然而,隨著更多的區塊被添加,它在經濟上變得不太可行及/或計算的可能。但仍需要測試概率性確定是否符合SFD 的要求。

現今各種特定行業及其普遍適用法規在機密性、完整性以及數據的可用性規範都已經制定了。 在美國,用於共享及記錄患者的檔案的區塊鏈解決方案受美國健康保險隱私及責任法案(Health Insurance Portability and Accountability Act,HIPAA)的約束,而在歐洲,一般資料保護規範(General Data Protection Regulation, GDPR)對個人資料的要求得到了強化和統一。GDPR 其中也包括歐洲境外個人資料的要求。

由於參與者和潛在敏感數據分類帳的副本可能分散在具有不同監管目標的多個司法管轄區域,因此各種法規可能難以確定區塊鏈解決方案的適當法規。

處理適用於區塊鏈的IT 合規性風險的措施包括:

  • 審查更廣泛的監管要求和標準,包括產業特定和普遍適用的規則
  • 監督標準制定過程中的監管發展和演變
  • 最好能在設計階段的早期與相關監管機構合作,以確保遵守政策目標。一些權威機構已經建立了具體的框架(例如,英國金融行為監管局的監管沙盒),允許金融業的創新者在沙盒裡測試他們的想法,且不會立即產生原本標準的監管後果
  • 規定對區塊鏈解決方案的存取限制(例如,只允許經過識別及已審查的合作夥伴以遵守反洗錢法)並限制分類帳副本參與者的允許位置,以避免在特定司法管轄區內出現不合規情況

第三方和供應商風險

雖然比特幣點對點的電子現金系統設計是在沒有信任的第三方的情況下運行,但大多數區塊鏈項目是在與區塊鏈軟體供應商建立戰略合作夥伴關係的背景下開發的。 而與這些戰略合作夥伴關係是另一種類型的第三方風險 - 供應商無法提供可靠及安全服務的風險。

區塊鏈軟體供應商是一個初創或者擴大規模的組織這並不罕見。雖然初創企業可能會取得成功,但也有許多初創企業可能會遇到策略演變問題、法規遵循問題、不穩定的財務狀況或缺乏適當的人力資源。例如, 2015 年中期,初創區塊鏈的軟體供應商 Ripple 宣布將停止開發其 Codius 平台。8 同年,Ripple 因違反多項監管要求而被美國財政部(United States Department of the Treasury)罰款,包括未能在其產品中實施適當的反洗錢計劃。9 在這之後,Ripple 同意採取了補救措施。 而財務風險也是一個常見的問題。 許多區塊鏈的初創企業由於資金缺乏而導致失敗。10 最後,吸引區塊鏈專家並避免損耗對初創企業來說可能具有挑戰性。11

管理與區塊鏈軟體供應商相關風險的行動包括:

  • 實施涵蓋第三方關係持續生命週期的風險管理策略,包括規劃、盡職調查,第三方選擇和結束階段。 美國貨幣監理署( Office of Comptroller of Currency,OCC)公告 2013-29 和 2017-7,提供了有關金融業第三方關係的引導,而美國經濟和臨床健康之健康資訊科技(HITECH)法案明確規定了醫療保健業“商業夥伴”的要求。
  • 管理合約合規的評估和持續監控計畫
  • 積極的管理第三方關係,深入了解第三方的長期戰略目標,並建立正式的溝通管道,以便在日後供應商面臨重大風險時使用
  • 要求對第三方的現況及其控制和服務進行內部和外部審計保證,例如鑑證業務國際準則第3402 號(International Standards for Assurance Engagements No. 3402, ISAE 3402),對服務類組織控制鑑證報告。12

整合風險

當組織面臨可能會破壞其產品、流程和商業模式的技術變革時,他們的經理可能會急於做出反應並推動不成熟的技術革新。而這些組織可能會因為缺乏與現有系統(技術視角)的整合或未經適當調整的商業流程(商業視角)而導致其技術革新策略不足。 德意志銀行( Deutsche Bank ) 的一位研究分析師得出結論認為,傳統銀行與舊有系統的鬥爭是技術創新的主要阻礙因素。13 無法在可接受的時間範圍內開發用於在現有系統整合新技術的介面。其他案例(如,瑞典的物產管理處Lantmäteriet 關於房地產交易系統的提議),延伸了整合要求甚至超出了內部系統的範圍。14

此外,當需要在數個基於區塊鏈的分類帳系統之間進行協調時,可能會出現整合問題。例如, 在烏托邦觀 點的區塊鏈資本市場中,歐洲清算銀行(Euroclear)主張著不同類型的資產分類帳(例如現金和衍生品)之間需要同步。15 且在同一份報告中, Euroclear 認為資本市場的某些參與者可能會被中介化,這將影響其餘金融機構的活動和商業流程。

為了降低整合風險,組織可能:

  • 除了強調需求工程的重要性之外,還專注於開發可重複的測試程序和大規模的測試計劃
  • 管理組織變革啟用,詳見COBIT 的 BAI05 管理組織變革啟用的流程,以準備和能承諾利益相關者的商業變革
  • 盡可能選擇普遍接受的區塊鏈技術和介面標準

結論

對區塊鏈解決方案的開發風險的分析顯示了建立正式治理結構和程序的潛在好處。 雖然這一發現與區塊鏈在加密貨幣環境中的先驅的基本前提相互矛盾,但它可能對風險防範和復原具有無可估量的價值。

與區塊鏈技術一樣,圍繞它的監管框架尚未完全成熟,這提高了合規風險實現的可能性。 此外,允許具有嚴格入職訓練和有效存取管理的區塊鏈可能更適合滿足在商業,技術,安全與合規性需求的當代分類帳的做法。

Endnotes

1 Finley, K.; “A $50 Million Hack Just Showed That the DAO Was All Too Human,” Wired, 19 June 2016, https://www.wired.com/2016/06/50-million-hack-just-showed-dao-human
2 ISACA, COBIT 5, USA, 2012, www.isaca.org/COBIT/Pages/default.aspx
3 National Institute of Standards and Technology, Computer Security Incident Handling Guide Revision 2, NIST Special Publication 800-61, USA, 2012, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
4 Visa, “Visa Inc. at a Glance,” USA, 2015, https://usa.visa.com/dam/VCOM/download/corporate/media/visa-fact-sheet-Jun2015.pdf
5 Croman, K., et al.; On Scaling Decentralized Blockchains, 2016, http://fc16.ifca.ai/bitcoin/papers/CDE+16.pdf
6 Mark, D.; V. Zamfir; E. G. Gun Sirer; A Call for a Temporary Moratorium on “The DAO,” 26 May 2016, https://docs.google.com/document/d/10kTyCmGPhvZy94F7VWyS-dQ4lsBacR2dUgGTtV98C40/edit#
7 Buterin, V.; “On Public and Private Blockchains,” Ethereum blog, 7 August 2015, https://blog.ethereum.org/2015/08/07/on-public-and-private-blockchains/
8 Glatz, F.; “The Quiet Death of Ripple’s Codius Project: Why Decentralized Infrastructure Has Still a Long Way to Go,” Medium, 13 June 2015, https://medium.com/@heckerhut/the-quiet-death-of-ripple-s-codiu-project-782c11a17c02
9 Department of the Treasury Financial Crimes Enforcement Network, “FinCEN Fines Ripple Labs Inc. in First Civil Enforcement Action Against a Virtual Currency Exchanger,” USA, 5 May 2015, https://www.fincen.gov/sites/default/files/shared/20150505.pdf
10 CB Insights, “Startup Failure Post-Mortems,” blog post, 10 February 2017, https://www.cbinsights.com/blog/startup-failure-post-mortem/
11 Nash, K.; “Blockchain Experts, a Rare Breed, May Demand Big Bucks,” The Wall Street Journal, 12 May 2016
12 International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls and a Service Organization, 15 June 2011, www.ifac.org/system/files/downloads/b014-2010-iaasb-handbook-isae-3402.pdf
13 Allison, I.; “Deutsche Bank Mulls the Potential of Blockchain and the Problem of Legacy Systems,” International Business Times, 24 August 2015, www.ibtimes.co.uk/deutsche-bank-mulls-potential-blockchain-problem-legacy-systems-1516686
14 Lantmäteriet (The Swedish mapping, cadastre and land registration authority), Telia Company, ChromaWay, Kairos Future, “The Land Registry in the Bockchain,” July 2016, http://ica-it.org/pdf/Blockchain_Landregistry_Report.pdf
15 Wyman, Oliver; Blockchain in Capital Markets: The Prize and the Journey, Euroclear, February 2016, https://www.euroclear.com/dam/Brochures/BlockchainInCapitalMarkets-ThePrizeAndTheJourney.pdf

作者: Filip Caron, Ph.D.
Is a faculty member at the KU Leuven Research Centre for Information Management and the Leuven Institute for Research on Information Systems (Belgium). He teaches graduate courses on business analysis and process management, and he is a researcher in the field of information security and governance, risk and compliance (GRC) practices. Caron is the author of more than 30 academic publications. He can be reached at Filip.Caron@kuleuven.be.

譯者: 張碩毅, 電腦稽核協會編譯出版委員會主委、國立中正大學會計與資訊科技學系教授兼管理學院院長暨AACSB 執行長/博士

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 5, 2017 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2017,Volume 5中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2017 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2017 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每 ISACA JOURNAL 摘譯文章 15 年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.