文/蔡孟凌
近年來,加密貨幣已經在各個領域發光發熱,甚至連傳統金融市場也開始積極布局,不少企業也開始考慮將加密貨幣作為資產來進行投資和管理。然而,根據區塊鏈分析公司 Crystal Blockchain 近期發布的一項研究顯示:自 2011 年至 2023 年 2 月之間,大約有 167 億美金的加密貨幣資產被盜取。根據他們的統計指出,駭客攻擊的對象已發生轉變,從加密貨幣交易所的安全系統轉移至 DeFi 和智能合約。另一個區塊鏈分析機構 Chainalysis 在 2022 年底提出的報告更指出:北韓駭客在加密貨幣中是最活躍的一群,2022 年估計其竊取加密貨幣總值超過 16.5 億美金。
隨著加密貨幣市場的不斷波動和駭客攻擊事件的不斷出現,企業在考慮將加密貨幣作為資產時,必須注意到其資安保障的重要性。本文將從技術保障、風險評估和保管等方面,探討企業在考慮將加密貨幣作為資產時,應如何準備資安措施,以確保其資產安全和可靠性。
一、建立安全意識和培訓
企業需要向員工和管理階層灌輸加密貨幣的風險和機會。員工需要知道如何識別釣魚和網路詐騙,同時也需要知道如何保護自己的加密貨幣錢包及其交易帳戶。管理階層需要知道如何管理資產,並建立風險管理計劃和相關政策。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
二、採用安全的技術和工具
當企業擁有加密貨幣時,保管這些資產將是非常重要的。不僅國外已經有成熟的金庫保管技術,國內廠商也已開發企業專用的加密金庫系統,顯示加密貨幣保管需求已逐漸浮現,並且在安全性和可靠性都需相當重視。透過適當的儲存方式、多重簽名錢包、加密技術保護私鑰、建立合適的存取權限和監控措施,以及建立災難復原計畫(Disaster Recovery)等,可以有效降低風險並提高保障。
1. 選擇適當的儲存方式
目前大多企業會考慮選擇線上或離線儲存方式,目前有金庫設計是導入抗量子電腦運算模型,並將其專利應用於私鑰保護機制上,實現對量子運算網路攻擊的有效防禦。私鑰是加密貨幣的重要交易憑證,企業必須採取措施以確保其私鑰的安全性。
2. 建立跨網域(跨鏈)錢包
不同於市面常見的加密貨幣錢包,單次被限制於初始化某個網域,企業所使用的加密資產金庫主要是讓使用者在最初即可選定該金庫所需包含的跨網域錢包,公司可設定多個金庫,例如 A 金庫同時含有 Ethereum 及 Solana 錢包,B 金庫含有 Avalanche、Optimism 錢包,公司可彙整多種網域多種加密資產,同時可將不同加密資產分配於不同人員掌管。
3. 建立多重簽章錢包
多重簽名錢包需要多個人簽名才能進行交易,這樣可以減少因為個人因素造成風險。因此建議企業可以將其加密貨幣資產儲存在多重簽名錢包中,並授權多人進行交易。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
4. 建立合適的存取權限和監控措施
企業必須確保只有授權人員可以操作公司之加密貨幣資產,並且當交易申請一旦提出,無論是申請者、審批者時間及層級皆詳細記載,簽核進度可隨時追蹤。透過監控措施和多層級門限管理,可以幫助企業及時發現異常操作和安全風險。
5. 建立災難復原計畫
企業應該預備復原計畫以應對各種可能的災難情況,例如自然災害、駭客攻擊和技術問題、備份和還原策略,以及緊急應對措施。另外也應考量到企業人員異動的問題,避免人員因故杳無音信、意即私鑰碎片丟失的特殊狀況,應設計完整的碎片備援方案,添增金鑰加密備份管理的角色,掌管人員權限凍結及加密備份碎片移轉,備份金鑰移轉同樣須經由申請手續提出後,經由金鑰加密備份管理人員簽核認可,將其移轉至新的使用者。
三、進行風險評估
企業需要進行風險評估,以確定其加密貨幣資產可能面臨的風險和威脅。評估可以包括內部和外部威脅、漏洞管理、監控、數位身份識別、是否符合當地法令遵循等,並建立適合的政策,以確保其加密貨幣資產的安全性。
整體而言,加密貨幣作為一種新興的資產,為企業帶來了許多機會,在這片藍海上乘風破浪的同時,也帶來了一些風險和挑戰。因此,企業在考慮將加密貨幣作為資產時,需要做好相應的資訊安全準備。
[ 閱讀所有蔡孟凌專欄文章 ]
此外,企業也需要注意加密貨幣市場的波動性和風險,確保其擁有足夠的資源和能力來應對不斷變化的市場環境和風險。最後,企業還需要與相關的監管機構和專業機構合作,確保其遵守當地相關的法律法規和標準,同時也可以獲得更多的指導和支持。
加密貨幣對企業來說既是機會也是挑戰,透過適當的資訊安全準備和風險管理措施,企業可以更好地應對加密貨幣市場的挑戰,同時也可以確保其加密貨幣資產的安全性和可靠性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
