Blockchains presteren goed in vergelijking met klassieke centrale databases op het gebied van beschikbaarheid en robuustheid tegen misbruik. Anderzijds hebben zij nadelen op het gebied van vertrouwelijkheid, aldus het Duitse Bundesamt für Informationssicherheit (BSI). Het beveiligingskanaal kan dus op verschillende manieren bijdragen aan blockchainprojecten.
Volgens de IDC Spending Guide zullen de uitgaven aan blockchainprojecten in Europa naar verwachting stijgen tot 4,9 miljard Amerikaanse dollar in 2023. Industrie, professionele dienstverlening, detailhandel en bankwezen hebben de beste vooruitzichten voor toekomstige investeringen in Blockchain. “Bedrijven beginnen Blockchain niet alleen te bekijken voor zijn cryptografische middelen, maar ook als een managementtool om items, informatie en klantgegevens bij te houden”, zegt Carla La Croce, senior onderzoeksanalist bij Customer Insights and Analysis, IDC. “Steeds meer bedrijven wenden zich tot blockchain voor een veilige en betrouwbare oplossing.”
Voor de genoemde bedrijfstakken, zoals de verwerkende industrie en het bankwezen, is het elementair dat de ideeën over de beveiligingsfuncties van een blockchainoplossing coherent zijn. “Zoals bij veel onderwerpen die veel media-aandacht trekken, is het belangrijk om bij het bespreken van blockchain een link te houden met de technische fundamenten”, zegt BSI-voorzitter Arne Schönbohm. “Dit geldt met name voor het aspect van IT-beveiliging, aangezien vaak wordt gehoopt dat het gebruik van blockchain de beveiliging zal verbeteren.” Het gebruik van blockchain alleen lost IT-beveiligingsproblemen echter niet op. “Talloze beveiligingsincidenten met schadebedragen van miljoenen laten zien dat maatregelen om IT-beveiliging tot stand te brengen niet verouderd raken, zelfs niet door het gebruik van blockchain”, aldus Schönbohm.
Blockchain maakt gebruik van technologieën zoals publieke en private sleutels om de gegevens in de blokken veilig vast te leggen. Deelnemers kunnen hun identiteit en andere persoonlijke informatie controleren en alleen delen wat zij voor een transactie nodig hebben. Voltooide transacties worden cryptografisch ondertekend, van een tijdstempel voorzien en één voor één toegevoegd. Records kunnen niet worden gemanipuleerd of anderszins gewijzigd tenzij de deelnemers daarmee instemmen.
Bedrijven kunnen blockchain-gebaseerde toepassingen bijvoorbeeld gebruiken om de tracking en authenticatie in de hele toeleveringsketen te verbeteren, legt de Boston Consulting Group (BCG) uit. Betere transparantie in de hele toeleverings- en distributieketen zou bijvoorbeeld vervalsing en daarmee samenhangende gezondheids- en veiligheidsproblemen als gevolg van nagemaakte onderdelen kunnen terugdringen, waardoor de financiële en reputatieschade beperkt blijft.
Door en door zakelijk potentieel voor het kanaal
Met “security by design” is blockchain-technologie fundamenteel geschikt voor veel toepassingsgebieden, aldus de internetbranchevereniging Eco. Als voorbeelden noemt de vereniging toepassingen voor de automobielindustrie, banken, de detailhandel en de energiesector. Met de juiste blockchain- en beveiligingskennis kan het kanaal als dienstverlener zo bijdragen aan tal van spannende projecten, want bijna 90 procent van de door de digitale vereniging Bitkom ondervraagde bedrijven zegt te weinig gekwalificeerd personeel te hebben voor het gebruik van blockchaintechnologieën. We mogen echter niet vergeten dat de beveiliging van blockchain een uitdaging is door het gebrek aan beste praktijken en normen, zoals de marktonderzoekers van Gartner uitleggen.
In cryptocurrencies zijn bijvoorbeeld vele miljoenen dollars verloren gegaan of gestolen als gevolg van misverstanden, fouten in de code, fraude en beveiligingsfouten. De technologie bevat ook beveiligingslekken. Dit betekent dat alle blockchain-projecten moeten worden beoordeeld op technologie, governance en compliance, gebreken en andere risico’s. Ook hier kan het veiligheidskanaal een waardevolle dienstverlener blijken te zijn. Het Cyber Security Agentschap van de EU beveelt aanvullende maatregelen aan in blockchainprojecten die zich ook zouden lenen voor een beveiligingsdienst, waaronder het monitoren van activiteiten, het automatiseren van nalevingsmaatregelen en controles, en het beperken van het delen van gegevens tot wat echt noodzakelijk is.
“Executives op het gebied van beveiliging en risicobeheer moeten niet alleen kritisch kijken naar de potentiële voordelen van blockchain, maar ook naar de bedreigingen”, zegt Mark Horvath, onderzoeksdirecteur bij Gartner. “Overweeg een gelaagd model van blockchainbeveiliging te gebruiken, zodat de risico’s op zakelijk, technisch en cryptografisch niveau duidelijk zijn.” Blockchain-platforms beschikken al over verschillende beveiligingsfuncties die u als dienstverlener kunt configureren en bedienen. Met de Azure Blockchain service, bijvoorbeeld, zijn er verschillende opties voor het beveiligen van toegang tot transactieknooppunten, waaronder firewallregels, basisauthenticatie, toegangssleutels en Azure Active Directory integratie.
AWS en Accenture
AWS’ Managed Blockchain beveiligt de certificaten van het desbetreffende netwerk met AWS Key Management Service (KMS-technologie), zodat het gebruikende bedrijf geen eigen sleutelopslag hoeft op te zetten. Accenture daarentegen heeft een oplossing ontwikkeld om de integratie van blockchaintechnologie in de hardware beveiligingsmodules (HSM’s) die banken al op grote schaal gebruiken om digitale sleutels te beschermen en te beheren, te vereenvoudigen. Deze cryptoprocessoren genereren, beveiligen en slaan de sleutels veilig op in de HSM – niet gewoon op een server of in software – en kunnen niet worden ontfutseld door onbevoegde gebruikers. Het wordt duidelijk dat blockchain-projecten zeer interessant zijn voor het veiligheidskanaal, aangezien gebruikerssectoren zoals het bankwezen aan hoge veiligheidseisen moeten voldoen, de blockchain diverse beveiligingsfuncties met zich meebrengt, maar ook de behoefte laat zien aan verdere beveiligingsdiensten die als dienstverlener kunnen worden aangeboden.
BSI-conclusie
Het BSI heeft een gedetailleerde analyse van blockchain gepubliceerd en komt onder meer tot deze conclusies: Het gebruik van blockchain alleen lost IT-beveiligingsproblemen niet op. Bekende problemen zoals de beveiliging van hardware en software blijven echter bestaan. Daarnaast zijn er nieuwe aanvalsvectoren op diverse onderdelen van het systeem. Naast de consensusmechanismen, waarmee de gedistribueerde opgeslagen gegevens consistent worden gehouden, en de slimme contracten, die de uitvoering van programma’s in het blockchainnetwerk mogelijk maken, moeten hier ook de externe interfaces voor het invoegen en lezen van gegevens worden genoemd.
Concrete incidenten tonen aan dat de aanvalsmogelijkheden niet alleen theoretisch zijn. Bovendien blijkt uit analyses van bestaande slimme contracten dat er een groot aantal veiligheidsproblemen is. Deze variëren van fouten in de code – die door de technologie niet kunnen worden gecorrigeerd – tot willekeurige getallen die kunnen worden gemanipuleerd en een gebrek aan authenticiteit van de gegevens uit de echte wereld die in het contract worden verwerkt. Rekening houden met deze beperkingen en kwetsbaarheden is essentieel voor een verantwoord gebruik van slimme contracten. Aangezien de beveiliging van blockchains voor een groot deel gebaseerd is op de gebruikte cryptografische algoritmen, moeten deze zorgvuldig worden geselecteerd om het gewenste beveiligingsniveau te bereiken met betrekking tot de beschermingsdoelstellingen van integriteit, authenticiteit en vertrouwelijkheid. Naast de cryptografische procedures moeten ook de beveiligingseigenschappen van de consensusmechanismen duidelijk worden begrepen en in aanmerking worden genomen. Deze aspecten moeten dan ook vanaf het begin in aanmerking worden genomen voor blockchain-toepassingen.