纽约金融服务部门(NYDFS)公布的数字货币商业条例一石激起千层浪,普遍被关注的问题是它是否会威胁到这个行业的创新,还有对比特币普及的影响。还有一个值得考虑的问题:“这个条例能阻止另外一个门头沟灾难吗?”
没有对坏蛋和恶劣商家100%有效的法规,这个条例要求强制执行严格的网络安全。包括数字货币平台每年都要进行的渗透测试,而且强制任命一位首席信息安全官,这是想获得‘BitLicense’的公司必须做的。
防止对关键基础设施的攻击,保护用户钱包资金,履行这个法规的职责,是首席信息安全官最重要的任务。此外,NYDFS要求数字货币企业建立重大灾难的应急措施。
更广泛的关注网络安全
这个法规尝试给对数字货币企业的攻击归档。企业被要求积极对威胁评估,维持系统的强健,这样能够抵御像造成门头沟崩溃那样的威胁,避免用户成千上万的资金丢失。
NYDFS的法规敦促数字货币企业实施全面的网络安全政策,覆盖一切潜在漏洞。特别是,每个公司的高层领导要最少每年一次跟进这样的政策,保证其成功实施,而且要根据需要做相应的调整。
此外,NYDFS还要求每个公司提供证据,证明他们的系统足以完成这样的任务。每个得到许可的企业都要给政府监管部门提交年度报告,详细报告安全系统的功能和能力。
关键方面的内部审计也是必需的,包括发现和修正漏洞的渗透测试,测试每年至少一次。还有每个季度一次的系统强健的证明。
数字货币企业也被要求维护清晰的跟踪数据,包括交易数据,用户登录事件簿和公司硬件登录记录。
这个级别的审查措施是否会对本国的数字货币企业有负面影响,仍有待观察。
一些业内人士说,这样严格的报考要求会增加不必要的开销,这对初创公司来说是不利的。还有一些人说,健康的监督机制会可以避免门头沟悲剧。
安全领导层是必须的
为了让企业能够维护更新这个法规要求的网络安全,NYDFS要求企业任命一名首席信息安全官(CISO)。
这个法规以门头沟为例,很显然门头沟没有这种领导角色的定义,这种失误最终导致了更大的隐患。可能有人会说首席工程师夜以继日的工作,也可以同时担任管理工作,但是,CEO Mark Karpeles没有足够的精力关注网络安全,这最终导致了此交易所的倒掉。
CISO的职责是监督数字安全帮助完成给监管部门的报告。CISO会给数字货币公司高层报考,制定安全框架,根据需要做调整。
做好最坏打算
但是当公司崩溃了怎么办?在门头沟被暴漏用户的资金丢失之后,这家交易所发现自己已经瘫痪了。事实上这家公司缺少清晰的灾难管理政策,被黑客攻击和后来错误的反应加重了问题的严重性。
获得许可的公司必须制定有效的操作程序来应对灾难事件。这包括确定关键功能,基础结构和人员,一旦企业破产,这些可以接管。
BitLicense的接受人必须给相关人员提供综合训练,以便在灾难管理中发挥作用。
另外,公司还被要求诚实完整报告可能引起风险的事件。综合来讲,这些要求是为了让数字货币公司在遇到突发问题时依然能够运行,虽然没有被测试过,但这份法规可以避免引起中断的事件,这种事件让用户承担更大的风险。
时间证明一切
目前还无法判断BitLicense法规是否对企业避免类似门头沟崩溃那样的灾难。就像法律控制银行破产管理一样,在实际情况出现之前,法规是无法被测试的。
根据NYDFS 负责人Benjamin M Lawsky在接受CNBC采访时所说,他提议的法规应该被更广泛的金融系统制定。他反复强调他支持这样的法规,银行和其他金融公司也需要提高他们自身的努力来避免黑客的破坏。
采访中Lawsky被问到NYDFS是否可以规避或者说至少牵制门头沟类似的情况,或者避免一种不断受到黑客攻击让客户资金受到威胁的情况。他回答说,这个网络安全的建议可能是有帮助的,但是,更广泛的金融系统也遭受着同样类型的薄弱环节。
他说:“我们将要进入并测试这些纽约公司的网络安全,来确保他们做了阻止黑客攻击应该做的一切。看,你可以发现我们整个银行业也是一样的。我们应该对每个人做这些。”
原文链接:coindesk
编译:比特人-yue169
