Le criptovalute come Bitcoin e Ripple hanno cambiato il mondo in più modi di quanto si possa immaginare. Sebbene apportino numerosi vantaggi all'economia della finanza, attirano molta attenzione da parte dei criminali informatici. Dopotutto, sono valute virtuali, e possono essere persi o rubati come qualsiasi valuta archiviata digitalmente.

E poiché sono molto più giovani delle loro controparti tradizionali (valute come il dollaro statunitense e l'euro), sono più vulnerabili a vari attacchi. Anche, le organizzazioni che si occupano di criptovalute sono molto giovani, con alcune aziende di appena due o tre anni come Binance, uno dei migliori scambi di criptovalute del pianeta, è stato fondato nel 2017.

Poi, non ci sono quasi standard collaudati e raccomandati per proteggere le criptovalute, a differenza delle valute tradizionali. Ad esempio, esiste PCI DSS (Payment Card Industry Data Security Standard) per le organizzazioni che richiedono, in lavorazione, o memorizzare i dati della carta di credito. Si può dire che PCI DSS è uno standard di sicurezza per le organizzazioni che lavorano con valute tradizionali.

Tuttavia, tutto è cambiato con l'introduzione del Cryptocurrency Security Standard (CCSS). Così, qual è questo standard, e come aiuta le organizzazioni?

Qual è lo standard di sicurezza delle criptovalute?

Cryptocurrency Security Standard (CCSS) è "un insieme di requisiti per tutti i sistemi informativi che fanno uso di criptovalute, compresi gli scambi, applicazioni web, e soluzioni di archiviazione di criptovaluta. Standardizzando le tecniche e le metodologie utilizzate dai sistemi di tutto il mondo, gli utenti finali saranno in grado di prendere facilmente decisioni informate su quali prodotti e servizi utilizzare e con quali aziende desiderano allinearsi, ” secondo il CryptoCurrency Certification Consortium (C4) — l'organizzazione che definisce questi standard.

Cryptocurrency Security Standard (CCSS) — come altri regolamenti federali e standard di settore come il General Data Protection Regulation (GDPR) e il Payment Card Industry Data Security Standard (PCI DSS) — aiuta a proteggere i sistemi informativi e ad eseguire valutazioni del rischio di sicurezza informatica, consentendo alle organizzazioni di confermare che i propri dati e quelli dei clienti sono al sicuro. CCSS è una svolta tanto necessaria nel mondo della blockchain e delle criptovalute.

Il motivo sono le criptovalute, grazie alla loro crescente popolarità e prezzi, sono diventati obiettivi redditizi per i criminali informatici. Questo è, le aziende che lavorano con la tecnologia blockchain e/o le criptovalute sono ad alto rischio di essere attaccate. Ecco perché CCSS è essenziale per queste organizzazioni.

Per esempio, Il 2019 ha visto il maggior numero di hack di criptovaluta.

In che modo il CCSS aiuta a proteggere le organizzazioni di blockchain e criptovalute?

Cryptocurrency Security Standard (CCSS) definisce le metodologie e le tecniche utilizzate per la sicurezza delle informazioni da blockchain e organizzazioni di criptovaluta, come la maggior parte degli standard di dati. È stato creato per integrare gli standard di sicurezza delle informazioni esistenti come ISO 27001:2013 introducendo le migliori pratiche di sicurezza per criptovalute come Bitcoin ed Ethereum.

Ciò significa che le aziende chiedono, immagazzinare, o lavorare con le criptovalute in qualsiasi modo deve seguire standard comprovati nel settore, quindi segui anche il CCSS.

CCSS compila un elenco di 10 aspetti della protezione dei sistemi informativi che funzionano con le criptovalute. Questi aspetti di sicurezza sono tecniche uniche per realizzare una parte di un sistema informativo. Tra questi dieci aspetti, il loro valore minimo definisce il valore complessivo del sistema informativo per questo standard. CCSS definisce tre livelli di sicurezza — Livello I, Livello II, e Livello III — con il Livello I che ha la sicurezza più bassa tra tutti e tre i livelli, e Livello III con la protezione migliore e più completa secondo lo standard di sicurezza delle criptovalute.

Cryptocurrency Security Standard organizza questi aspetti in due domini:Cryptographic Asset Management e Cryptocurrency Operations. Sotto il secondo dominio, richiede Audit di Sicurezza, il che significa che le organizzazioni devono sottoporsi a valutazioni del rischio di sicurezza informatica e revisioni di terze parti dei loro controlli di sicurezza, sistemi, politiche, e processi.

Queste valutazioni dei rischi aiutano i team di sicurezza a convalidare che i controlli di sicurezza installati funzionino correttamente come previsto poiché queste valutazioni includono test di penetrazione e vulnerabilità per scoprire potenziali aree di attacco. Per esempio, Crypto.com, uno degli scambi consolidati, ha ottenuto il livello CCSS III e ha completato una valutazione dettagliata del rischio informatico nel dicembre 2019 per convalidare la sua infrastruttura di sicurezza.

Tuttavia, CCSS afferma chiaramente che il suo ambito rimane all'interno del confine di criptovaluta dei sistemi di informazione. Questo è, non copre il comune, pratiche e standard di sicurezza noti per migliorare la sicurezza informatica. Ecco perché CCSS deve essere implementato in modo complementare dopo aver seguito gli standard del settore noti per la sicurezza informatica come ISO 27001, PCI-DSS, HIPAA, FINRA, e GDPR.

CCSS livello I

Un sistema informativo con CCSS Livello I ha dimostrato durante l'audit di proteggere le proprie risorse informative con elevati livelli di sicurezza. Questo è, il sistema informativo è stato in grado di far fronte alla maggior parte dei rischi introdotti al proprio patrimonio informativo, grazie ai suoi controlli di sicurezza che soddisfano gli standard del settore. E sebbene sia il livello più basso dello standard di sicurezza delle criptovalute, afferma ancora che il sistema fornisce una forte sicurezza per le risorse di criptovaluta.

CCSS Livello II

Un sistema informativo che ha raggiunto il livello II CCSS ha dimostrato di proteggere le proprie risorse informative con livelli di sicurezza elevati e controlli avanzati. Affrontano la maggior parte dei rischi sulle sue risorse informative, e in aggiunta, utilizza tecnologie di sicurezza decentralizzate come firme multiple, superando la maggior parte degli standard del settore. Anche, forniscono sicurezza ridondante se una chiave o una persona viene compromessa o non disponibile, fornendo così una maggiore sicurezza.

CCSS Livello III

Un sistema informativo etichettato con CCSS Livello III ha dimostrato con successo durante l'audit di impiegare i più elevati livelli di sicurezza per proteggere le proprie risorse informative. Superano i controlli avanzati con politiche e procedure standard applicate in ogni fase dei loro processi aziendali. Anche, richiedono più attori per approvare tutte le azioni critiche, implementare misure di autenticazione avanzate per verificare l'autenticità dei dati, distribuire le proprie risorse geograficamente e organizzativamente per mitigare il rischio di compromettere una persona o un'organizzazione durante un attacco, garantendo così la massima sicurezza.

Questo articolo è stato pubblicato per la prima volta su: 23 luglio 2020