查看原文
其他

趋势与观点 | 区块链的标准化和审计

Maria S. ISACA
2024-09-16


区块链技术经常被吹捧为世界商业行为的一场潜在革命。通过提供一个安全的分布式账本,它有可能提供无与伦比的透明度和各方之间的信任。该技术仍处于发展和采用的早期阶段,但随着今天一些大规模应用的部署,这场革命正在慢慢变成现实。随着这种情况的发生,标准化和审计将在降低组织在实施这种新兴技术时可能面临的风险方面发挥关键作用。



区块链的应用‍


目前,区块链有几个解决现实世界问题的用例,例如跟踪供应链、管理金融交易和验证身份:


  • 欧洲投资银行(EIB)通过私有区块链处理了其首个欧元计价的数字债券的发行。这笔期限为2年的1亿欧元债券是在高盛公司的代币化平台上使用私有区块链技术发行、记账和结算的。


  • 航运巨头马士基为全球航运业开发并实施了一个名为TradeLens的数字平台。它的目的是提高全球贸易的效率和透明度。它于2019年8月上线,被全球80多个领先的航运组织、港口和海关当局使用(尽管目前已被停用)。该平台使用区块链技术来安全地存储和共享数据,使所有利益相关方对货物运输有实时的了解。


  • 瑞波公司(瑞波币)正在利用技术,通过为金融机构提供实时全额结算系统和货币兑换,来促进更快和更便宜的国际支付。


  • 沃尔玛正在使用区块链来追踪其产品的供应链。它还在使用Civic,这是一个身份管理平台,允许用户以安全的方式存储、保护和共享其个人数据。


  • 在奢侈品行业,法国奢侈品-路威酩轩集团创建了AURA区块链联盟。它是一个用于验证奢侈品真实性的平台,并跟踪它们从生产到销售的整个过程。它还允许客户访问有关产品的详细信息,如其原产地和使用的材料。它被用于时尚和奢侈品行业,特别是由路威酩轩集团及其合作品牌使用。


此外,许多组织正在探索如何使用区块链来安全地存储和传输数据,并创建更安全和高效的系统。微软和IBM等一些知名组织已经开始提供区块链即服务(BaaS)平台,以促进其使用。这些跨行业的例子表明,区块链技术已经应用于平台和实际用例,人们对区块链技术已建立信任。




  挑战


但是,这种潜力仍然伴随着一系列独特的未解决的挑战,包括监管和(传统基础设施)的迁移、技术标准化以及可靠性和信任。


监管和迁移

首先也是最重要的,大多数司法管辖区存在监管的不确定性,区块链技术的法律地位仍不明确,这可能导致希望部署区块链的企业受到限制。即使这些问题已经得到解决,并且知道合规的实际成本,在基于区块链的基础设施上规划、设计和实施流程的成本仍然是一个抑制因素。摆脱传统系统是一项沉重的任务,需要大量的返工和资源。


标准化

从技术角度看,区块链技术采用缓慢的主要原因是缺乏技术标准化。这意味着实施区块链系统的方法不只一种。因此,为了保证与其他生态系统的互操作性,组织在推出区块链产品时必须格外小心。


标准化对区块链技术的发展和实施至关重要。为了实现区块链的全部潜力,参与多个区块链的人通过一个单一的协议联系起来是有益的。这减少了用户的摩擦,因为他们可以在不改变网络的情况下访问不同的去中心化的应用程序。它不仅保证了共同的准则、要求和定义,还可以使人们遵守相关的法规和法律。为此,各组织必须共同努力,制定符合当前法规的标准。各个行业都有大量的标准化工作,帮助参与者遵循最佳实践并从过去的错误中吸取教训。


在不同的数字资产生态系统中,也存在标准化。例如,对于区块链以太坊的开发者来说,有一个称为以太坊征求意见(ERC)的基本准则。这些是开源文件,描述了基于以太坊的代币必须遵守的规则,包括启用代币创建、支出或交易处理等基本功能。数字货币全球倡议(DGCI)已着手为所有数字货币建立一个共同的分类框架。它使用供应、价值、所有权、协议和记录等属性对货币进行分类和区分。


可靠性和信任

区块链行业的另一个重要话题是平台的可靠性。平台被攻克或代币被盗几乎每天都在发生。为了提高区块链平台的可靠性,审计是必不可少的。在区块链行业,审计尤其重要,因为该技术涉及交易数据的安全性和完整性。


任何审计过程的第一步是对技术进行全面风险评估。这包括对所涉及的技术、流程和操作的详细审查。区块链行业审计的一个重要方面是密钥流程,即检查私钥的安全性。其他需要审查的方面是资产管理、合规流程和备份措施。最关键的一个方面是对现有安全措施的审查,如加密、身份验证和访问控制。然而,审计区块链系统对许多审计师来说是一个挑战,因为他们对该技术缺乏了解。很难找到一个经过认可的审计机构,拥有专门的具备审查相关控制措施的技能和可用的部门。




  展望


作为互操作性和跨协议信息交换的核心,标准化工作在区块链方面仍然相对不成熟,并显示出有限的协调和接受程度。此外,区块链的互操作性需要超越基础设施层面,除了商业模式和法律框架等业务方面外,还包括平台方面,如共识机制和身份验证。通过对区块链涉及的技术、流程和操作进行全面审查,审计师可以保证区块链技术符合必要的标准,并可以提供有价值的见解和建议。



  结论


未来5年,区块链技术预计将越来越多地被各行业的组织采用,包括金融、医疗、供应链和物联网(IoT)。组织可以使用区块链来保存数字交易的记录,创建数字货币并实现流程自动化。此外,区块链可用于促进安全的数据共享,提供增强的数据安全性,并实现数字身份管理。


区块链在短期内的主要优势是加密货币和支付用例的便利化,这对金融服务行业的客户仍然具有吸引力。这是标准化最多的行业,这将推动这项技术的使用。


由于这种增长和普及,标准化和审计将成为区块链技术发展和部署的重要组成部分。通过实施严格的安全协议,制定可扩展性、可追溯性和合规性的标准,通过定期审计其网络,组织可以确保他们的区块链计划是安全、可靠且符合法规的。这对银行和其他受监管行业尤为重要,因为他们必须确保其区块链产品的安全性和符合监管标准。


往期推荐:




ISACA Blog | 解决新兴技术中的安全和隐私问题


ISACA Vlog | 四个隐私保护的区块链平台


ISACA Vlog | 解读区块链通用参考架构


编者按: 本文于2023年3月14日首次发表 于ISACA官网News and Trends/Industry News,尾注略。文章内容仅代表作者本人观点。



作者:MARIA SOMMERHALDER是Eraneos集团技术驱动型审计部门的管理顾问和审计师。作为一名经验丰富的IT审计师,她专注于密钥生成流程和私钥保管。她是瑞士顶级密钥流程审计师,帮助各种客户进入涉及数字资产和区块链的新兴市场。


翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。


校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。

继续滑动看下一个
ISACA
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存