Cos'è la sicurezza della blockchain?

La tecnologia blockchain produce una struttura di dati con qualità di sicurezza intrinseche. Si basa su principi di crittografia, decentralizzazione e consenso, che garantiscono la fiducia nelle transazioni. Nella maggior parte delle blockchain o delle tecnologie a registro distribuito (DLT), i dati sono strutturati in blocchi e ciascun blocco contiene una transazione o un insieme di transazioni.

Ogni nuovo blocco si collega a tutti i blocchi precedenti in una catena crittografica, in modo tale da rendere quasi impossibile la manomissione. Tutte le transazioni all'interno dei blocchi sono validate e concordate da un meccanismo di consenso, garantendo che ogni transazione sia vera e corretta.

La tecnologia blockchain supporta la decentralizzazione attraverso la partecipazione dei membri all'interno di una rete distribuita. Non esiste un unico punto di errore e un singolo utente non può modificare il record delle transazioni. Tuttavia, le tecnologie blockchain differiscono in alcuni aspetti critici della sicurezza.

Blockchain reti possono differire su chi può partecipare e chi ha accesso ai dati. Le reti sono solitamente etichettate come pubbliche o private, a seconda di chi è autorizzato a partecipare, e autorizzate o non autorizzate, a seconda di come i partecipanti ottengono l'accesso alla rete.

Le reti blockchain pubbliche di solito permettono a chiunque di aderire e ai partecipanti di rimanere anonimi. Una blockchain pubblica utilizza computer connessi a internet per convalidare le transazioni e raggiungere il consenso. Bitcoin, probabilmente l'esempio più noto di blockchain pubblica, raggiunge il consenso attraverso il "bitcoin mining".

I computer sulla rete bitcoin, o "miner", cercano di risolvere un complesso problema crittografico per creare proof of work e quindi convalidare la transazione. Oltre alle chiavi pubbliche, in questo tipo di rete sono presenti pochi controlli di identità e di accesso.

La blockchain privata utilizza l'identità per confermare i privilegi di appartenenza e accesso e in genere consente di aderire solo ad organizzazioni conosciute. Insieme, le organizzazioni formano una "rete aziendale" privata riservata ai membri. Una blockchain privata in una rete autorizzata raggiunge il consenso attraverso un processo chiamato "endorsement selettivo", in cui gli utenti noti verificano le transazioni. Solo i membri con accessi e autorizzazioni speciali possono gestire il registro delle transazioni. Questo tipo di rete richiede più controlli di identità e accesso:

quando si costruisce un'applicazione Blockchain, è importantissimo valutare quale tipo di rete si adatta meglio agli obiettivi aziendali. Le reti private e autorizzate possono essere strettamente controllate e preferibili per motivi di conformità e normative. Tuttavia, le reti pubbliche e senza autorizzazione possono raggiungere una maggiore decentralizzazione e distribuzione.

Hacker e truffatori minacciano le blockchain in quattro modi principali: phishing, routing, Sybil e attacchi al 51%.

Il phishing è un tentativo di truffa per ottenere le credenziali di un utente. I truffatori inviano ai proprietari di wallet key delle e-mail studiate per apparire come provenienti da una fonte legittima. Le e-mail chiedono agli utenti le loro credenziali utilizzando collegamenti ipertestuali falsi. Avere accesso alle credenziali di un utente e ad altre informazioni sensibili può comportare perdite sia per l'utente che per la blockchain.

Le blockchain si basano su trasferimenti di dati di grandi dimensioni in tempo reale. Gli hacker possono intercettare i dati mentre vengono trasferiti ai provider di servizi internet. In un attacco di routing, i partecipanti alla blockchain di solito non riescono a vedere la minaccia, quindi tutto appare normale. Tuttavia, dietro le quinte, i truffatori hanno sottratto dati o valute riservate.

In un attacco Sybil, gli hacker creano e utilizzano molte false identità di rete per inondare la rete e bloccare il sistema. Sybil si riferisce a un famoso personaggio di un libro, affetto da un disturbo di identità multipla.

Il mining richiede una grande quantità di potenza di calcolo, specialmente per le blockchain pubbliche su larga scala. Ma se un miner, o un gruppo di miner, riuscisse a raccogliere risorse sufficienti, potrebbe raggiungere più del 50% della potenza di mining della rete blockchain. Avere più del 50% di potere significa avere il controllo sul registro e la capacità di manipolarlo.

Nota: le blockchain private non sono vulnerabili agli attacchi del 51%.

Nel mondo digitale moderno, è essenziale adottare misure per garantire la sicurezza sia della progettazione della blockchain che dell'ambiente. I servizi di test della blockchain X-Force Red possono aiutarti a fare questo.

Quando si crea un'applicazione blockchain aziendale, è importante considerare la sicurezza a tutti i livelli dello stack tecnologico e come gestire la governance e i permessi per la rete. Una strategia di sicurezza completa per una soluzione blockchain aziendale comprende l'utilizzo di controlli di sicurezza tradizionali e di controlli esclusivi della tecnologia. Alcuni dei controlli di sicurezza specifici per le soluzioni blockchain aziendali includono:

• Gestione delle identità e degli accessi
  
  
• Gestione delle chiavi
  
  
• Privacy dei dati
  
  
• Comunicazione sicura
  
  
• Sicurezza degli smart contract
  
  
• Approvazione della transazione

Impiega esperti per aiutarti a progettare una soluzione conforme e sicura e per raggiungere i tuoi obiettivi aziendali. Cerca una piattaforma di livello produttivo per costruire soluzioni blockchain in grado di essere distribuite nell'ambiente tecnologico selezionato, sia on-premise che presso il fornitore cloud preferito.

Quando progetti una soluzione blockchain, considera queste domande chiave:

• Qual è il modello di governance per le organizzazioni o i membri partecipanti?
  
  
• Quali dati vengono acquisiti in ogni blocco?
  
  
• Quali sono i requisiti normativi pertinenti e come possono essere soddisfatti?
  
  
• Come vengono gestiti i dettagli dell'identità? I payload dei blocchi sono crittografati? Come vengono gestite e revocate le chiavi?
  
  
• Qual è il piano di disaster recovery per i partecipanti alla blockchain?
  
  
• Qual è il livello di sicurezza minimo per la partecipazione dei client blockchain?
  
  
• Qual è la logica per risolvere le collisioni dei blocchi blockchain?

Quando si crea una blockchain privata, è necessario assicurarsi che sia implementata in un'infrastruttura sicura e resiliente. La scelta di tecnologie non adeguate per le esigenze e i processi aziendali può comportare rischi per la sicurezza dei dati a causa delle vulnerabilità di queste soluzioni.

Considera i rischi aziendali e di governance. I rischi aziendali includono implicazioni finanziarie, fattori reputazionali e rischi di conformità. I rischi di governance derivano principalmente dalla natura decentralizzata delle soluzioni blockchain e richiedono controlli rigorosi sui criteri decisionali, sulle politiche di governo, sulla gestione delle identità e degli accessi.

La sicurezza blockchain riguarda la comprensione dei rischi delle reti blockchain e la loro gestione. Il piano per implementare la sicurezza di questi controlli costituisce un modello di sicurezza blockchain. Crea un modello di sicurezza blockchain per assicurarti che siano in atto tutte le misure per proteggere adeguatamente le tue soluzioni blockchain.

Per implementare un modello di sicurezza per soluzioni blockchain, gli amministratori devono sviluppare un modello di rischio in grado di recepire tutti i rischi aziendali, di governance, tecnologici e di processo. Successivamente, devono valutare le minacce alla soluzione blockchain e creare un modello di minaccia. Quindi, gli amministratori devono definire i controlli di sicurezza che mitigano i rischi e le minacce basandosi sulle seguenti tre categorie:

• Applicare controlli di sicurezza unici per la blockchain
  
  
• Applicare controlli di sicurezza convenzionali
  
  
• Applica controlli aziendali per la blockchain

I servizi e la consulenza di IBM Blockchain possono aiutarti a progettare e attivare una rete Blockchain che risponde alle esigenze di governance, valore aziendale e tecnologia, assicurando al contempo privacy, fiducia e sicurezza.