Η ανάγκη για επαρκή Κυβερνοασφάλεια σε υπηρεσίες Decentralized Finance

Στον Κανονισμό 2019/881 (Cybersecurity Act) ως «Κυβερνοασφάλεια» ορίστηκαν οι δραστηριότητες που απαιτούνται για την προστασία των συστημάτων δικτύου και πληροφοριών, των χρηστών των εν λόγω συστημάτων και άλλων επηρεαζόμενων από κυβερνοαπειλές προσώπων, ενώ ως «κυβερνοαπειλή» προσδιορίστηκε κάθε πιθανή περίσταση, πιθανό συμβάν ή πιθανή ενέργεια που θα μπορούσε να καταστρέψει, να διαταράξει ή να επιδράσει κατ’ άλλον τρόπο δυσμενώς στα συστήματα δικτύου και πληροφοριών, στους χρήστες των εν λόγω συστημάτων και σε άλλα πρόσωπα. Σε αυτούς τους ορισμούς αναφέρεται και η Οδηγία NIS 2 (Network and Information Security).

Η Ούρσουλα φον ντερ Λάιεν ανακοίνωσε, στις 15 Σεπτεμβρίου 2021, στην ομιλία της για την κατάσταση της Ένωσης το 2021 (State of the Union) ότι, στην Ευρώπη, όπου αναπτύσσονται εργαλεία κυβερνοάμυνας, χρειαζόμαστε μια Ευρωπαϊκή Πολιτική Κυβερνοάμυνας, συμπεριλαμβανομένης της νομοθεσίας σχετικά με κοινά πρότυπα βάσει ενός νέου ευρωπαϊκού νόμου για την ανθεκτικότητα στον κυβερνοχώρο. «Εάν όλα είναι συνδεδεμένα, όλα μπορούν να χακαριστούν. Δεδομένου ότι οι πόροι είναι λιγοστοί, πρέπει να συγκεντρώσουμε τις δυνάμεις μας. Και δεν πρέπει απλώς να είμαστε ικανοποιημένοι για την αντιμετώπιση της απειλής στον κυβερνοχώρο, αλλά και να προσπαθούμε να γίνουμε ηγέτες στην ασφάλεια στον κυβερνοχώρο. Θα πρέπει να είναι εδώ στην Ευρώπη όπου αναπτύσσονται εργαλεία κυβερνοάμυνας, γι αυτό χρειαζόμαστε μια ευρωπαϊκή πολιτική για την άμυνα στον κυβερνοχώρο (European Cyber Defence Policy), συμπεριλαμβανομένης νέας νομοθεσίας για κοινά πρότυπα βάσει ενός νέου ευρωπαϊκού κανονισμού για την ανθεκτικότητα στον κυβερνοχώρο (European Cyber Resilience Act ) που αφορά οριζόντιες απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία. Τα κράτη μέλη μπορούν να βοηθήσουν με μια κοινή εκτίμηση των απειλών που αντιμετωπίζουμε και μια κοινή προσέγγιση για την αντιμετώπισή τους. Η Στρατηγική Πυξίδα (Strategic Compass) είναι μια βασική διαδικασία αυτής της συζήτησης».

Οι διαδικασίες αυτές, όμως, δεν αρκεί να καταλαμβάνουν τις συνήθεις ψηφιακές δομές και κεντροποιημένες διαδικασίες αλλά είναι, ίσως περισσότερο, απαραίτητο να καλύψουν και τις μη θεσμοθετημένες αποκεντροποιημένες διεργασίες ιδίως όταν αφορούν οικονομικές συναλλαγές που χρησιμοποιούν τεχνολογία κατανεμημένου καθολικού (DLT). Κάθε τεχνολογία κατανεμημένου καθολικού είναι μια κοινή και συγχρονισμένη βάση δεδομένων που δεν αποθηκεύεται σε μία μόνο τοποθεσία, αλλά αντιγράφεται σε πολλούς υπολογιστές σε ένα δίκτυο. Αυτή η τεχνολογία στηρίζει κρυπτονομίσματα όπως το Bitcoin, αλλά έχει τη δυνατότητα να φέρει επανάσταση σε διάφορους κλάδους, συμπεριλαμβανομένων των χρηματοοικονομικών υπηρεσιών οι αποκεντρωμένες οικονομικές συναλλαγές ή αποκεντρωμένη χρηματοδότηση (Decentralized Finance ή DeFi), ένας ταχέως αναπτυσσόμενος τομέας στον κλάδο των κρυπτονομισμάτων διότι επιτρέπει στους χρήστες να έχουν πρόσβαση σε χρηματοπιστωτικές υπηρεσίες χωρίς να βασίζονται σε (αδειοδοτημένους) κεντροποιημένους παραδοσιακoύς διαμεσολαβητές όπως οι τράπεζες (CeFi).

Ωστόσο, αυτή η αποκεντρωμένη δομή εγείρει ανησυχίες σχετικά με την Κυβερνοασφάλεια στις σχετικές υπηρεσίες και πλατφόρμες και ιδίως στην σχέση της με θεσμικές προσπάθειες εποπτείας όπως οι Κανονισμοί MiCA, DORA ή και η NIS 2 ή και η προσπάθεια εξειδικευμένης αντιμετώπισης του ειδικού αυτού συστήματος ψηφιακών συναλλαγών με τον δοκιμαστικό σωλήνα του Κανονισμού DLT Pilot. Κάθε πλατφόρμα DeFi συγκεντρώνει τις πληροφορίες λογαριασμού των χρηστών, τα διαπιστευτήρια πληρωμών και άλλα ευαίσθητα δεδομένα, όπως κωδικούς πρόσβασης, καθιστώντας την πιο ευάλωτη σε απειλές. Ο αποκεντρωμένος χαρακτήρας του DeFi δημιουργεί ρυθμιστικές προκλήσεις λόγω της έλλειψης κεντρικής αναφοράς, ενώ το CeFi αντιμετωπίζει ζητήματα διασυνοριακής συμμόρφωσης.

Τα πλεονεκτήματα των συστημάτων DLT δεν είναι αμελητέα, αντιθέτως είναι τα ειδικά χαρακτηριστικά τους που ελκύουν τους επενδυτές. Καταρχήν η σταθερότητα. Τα δεδομένα σε ένα DLT όταν καταγραφούν, δεν μπορούν να τροποποιηθούν ή να διαγραφούν χωρίς ανίχνευση, καθιστώντας το έναν ασφαλή τρόπο αποθήκευσης του ιστορικού των συναλλαγών. Επίσης, η ισχυρή κρυπτογραφία που χρησιμοποιείται στα συστήματα DLT για την ασφάλεια των συναλλαγών και την προστασία των ταυτοτήτων των χρηστών. Τέλος, ο κατανεμημένος κίνδυνος, αφού τα δεδομένα σε μία DLT αναπαράγονται σε πολλαπλούς κόμβους του δικτύου, κάτι που καθιστά δύσκολο για μία μόνο οντότητα να θέσει σε κίνδυνο ολόκληρο το σύστημα.

Οι προκλήσεις από τα συστήματα DLT και, ιδίως, το DeFi φαίνονται περισσότερες από τα πλεονεκτήματα. Καταρχήν οι πρακτικές προκλήσεις, όπως οι εγγενείς ευπάθειες των έξυπνων συμβολαίων (smart contracts) αφού τα DeFi βασίζονται σε μεγάλο βαθμό σε έξυπνα συμβόλαια, με αυτοεκτελούμενο κώδικα σε blockchain, οπότε τα σφάλματα ή οι ευπάθειες σε αυτά μπορούν να οδηγήσουν σε παραβιάσεις με μεγάλο αντίκτυπο και απώλεια επενδύσεων. Ακολουθούν οι επιθέσεις δικτύου, καθώς, ενώ τα δίκτυα DLT είναι γενικά ανθεκτικά, δεν είναι απρόσβλητα από ορισμένες επιθέσεις, όπως επιθέσεις άρνησης παροχής υπηρεσιών (DoS) που μπορούν να διαταράξουν τις λειτουργίες του δικτύου. Επίσης, η ανωνυμία των επενδυτών και η δυνατότητα τους να λειτουργούν σε μεγάλο βαθμό ανώνυμα καθιστά δύσκολο τον εντοπισμό και την παρακολούθηση των κακόβουλων χρηστών πίσω από κυβερνοεπιθέσεις. Τέλος, στις κυριότερες ρυθμιστικές προκλήσεις περιλαμβάνονται η έλλειψη κεντρικής εποπτείας που ευνοεί την αποκεντρωμένη διαχείριση, όμως καθιστά δύσκολη την εφαρμογή προτύπων ασφαλείας και κανονισμών που επιβάλλονται στις πιο συμβατικές σναλλαγές. Παράλληλα, τα συχνά περιστατικά ασφαλείας μπορούν να προσελκύσουν ανεπιθύμητη ρυθμιστική ένταση, οδηγώντας ενδεχομένως σε αυστηρότερους ελέγχους που καταπνίγουν την καινοτομία. Παράλληλα, αυτή η έλλειψη ρύθμισης ή, σε κάθε περίπτωση, η ρυθμιστική γκρίζα ζώνη στην οποία λειτουργούν τα DeFi, φαίνεται να αφήνει και τους χρήστες δυνητικά ευάλωτους σε απάτες. Όλα τα ανωτέρω οδηγούν σε απώλεια εμπιστοσύνης των χρηστών προς τα συστήματα DeFi, παρεμποδίζοντας ή δυσχεραίνοντας σημαντικά την πιθανότητα υιοθέτησής του.

Σε απάντηση όλων αυτών η ΕΕ προσπαθεί εδώ και καιρό να εισάγει ένα ρυθμιστικό πλαίσιο που μπορεί να εφαρμοστεί ή να προκαλέσει την ανάγκη για εφαρμογή και στις υπηρεσίες DeFi. Ο Κανονισμός DLT pilot, ο κανονισμός για τις αγορές κρυπτογραφικών περιουσιακών στοιχείων (MiCA) και η πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) αποτελούν βασικά στοιχεία της δέσμης μέτρων της ΕΕ για την ψηφιακή χρηματοδότηση. Ως εκ τούτου, μοιράζονται τους ίδιους στόχους: Επίτευξη ασφάλειας δικαίου, Υποστήριξη της καινοτομίας, Προστασία των δικαιωμάτων των καταναλωτών και Διασφάλιση της χρηματοπιστωτικής σταθερότητας

Το ουσιαστικό πεδίο εφαρμογής του DLT περιορίζεται σε μια συγκεκριμένη κατηγορία περιουσιακών στοιχείων. Σε αντίθεση με τον MiCA, o DLT αφορά περιουσιακά στοιχεία που πληρούν τις προϋποθέσεις ως χρηματοπιστωτικά μέσα σύμφωνα με τη MiFID II.

Ο DLT pilot αποτελεί ένα πλαίσιο της ΕΕ που λειτουργεί ουσιαστικά ως ρυθμιστικό sandbox και αποσκοπεί στη διευκόλυνση της δοκιμής και της ανάπτυξης υποδομών της χρηματοπιστωτικής αγοράς (FMI) που βασίζονται στην τεχνολογία κατανεμημένου καθολικού (DLT) σε ένα ελεγχόμενο περιβάλλον. Τα ιδρύματα που συμμετέχουν περιλαμβάνουν πολυμερείς μηχανισμούς διαπραγμάτευσης (MTFs) και πλατφόρμες διαπραγμάτευσης που συγκεντρώνουν πολλαπλούς αγοραστές και κεντρικά αποθετήρια τίτλων (CSDs) που κατέχουν και διαχειρίζονται τίτλους για λογαριασμό των επενδυτών. O DLT επιδιώκει να διευκολύνει τη χρήση της τεχνολογίας κατανεμημένου καθολικού στη διαπραγμάτευση και τη μετα-διαπραγμάτευση κρυπτογραφημένων περιουσιακών στοιχείων μέσα από μία δοκιμαστική φάση που θα διαρκέσει 3-6 έτη, και η οποία θα βοηθήσει στη συλλογή πολύτιμων γνώσεων σχετικά με την εφαρμογή και την ανάπτυξη της σχετικής τεχνολογίας. Το πιλοτικό καθεστώς DLT της ΕΕ τέθηκε σε λειτουργία στις 23 Μαρτίου 2023 και η επιτυχία του θα μπορούσε να ανοίξει το δρόμο για την ευρύτερη υιοθέτηση των DLT σε ολόκληρο τον ευρωπαϊκό χρηματοπιστωτικό τομέα, οδηγώντας σε ένα πιο καινοτόμο και αποτελεσματικό χρηματοπιστωτικό οικοσύστημα. Παράλληλα, διευκολύνοντας τη διερεύνηση των δυνατοτήτων του DLT, το πρόγραμμα θα μπορούσε να ανοίξει το δρόμο για ένα πιο καινοτόμο, αποτελεσματικό και ασφαλές χρηματοπιστωτικό τοπίο στην ΕΕ.

O DLT pilot εισάγει ένα ολοκληρωμένο σύνολο προτύπων και απαιτήσεων κυβερνοασφάλειας για τους φορείς εκμετάλλευσης DLT, με στόχο την ενίσχυση της ασφάλειας και της ανθεκτικότητας της αγοράς DLT αλλά και σημαντικά εργαλεία, όπως οι διαδικασίες διαχείρισης κυβερνοχώρου, η διασφάλιση και τήρηση αρχείων για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες (KYC/AML), η αξιοποίηση της τεχνολογίας zero-knowledge proof (ZKP), δηλαδή ανάλυση δεδομένων χωρίς de-facto μεταφορά δεδομένων, διασφαλίζοντας την προστασία της ιδιωτικής ζωής και βελτιώνοντας την ασφάλεια στον κυβερνοχώρο και η γενικότερη ενίσχυση της διαφάνειας των συναλλαγών.

Ο κανονισμός για τις αγορές κρυπτογραφικών περιουσιακών στοιχείων (MiCA) συμβάλλει κι αυτός (κάπως) στην ασφάλεια των DeFi αφού εισάγει ένα ολοκληρωμένο σύνολο προτύπων και απαιτήσεων κυβερνοασφάλειας για την εξυπηρέτηση κρυπτο-υπολογιστικών στοιχείων και επιβάλλει στις πλατφόρμες και τους παρόχους να εφαρμόζουν ισχυρές πολιτικές και πρωτόκολλα ασφάλειας πληροφοριών για την αντιμετώπιση περιστατικών στον κυβερνοχώρο και ΚΤΟΜ για την ασφαλή διαχείριση των κρυπτογραφικών περιουσιακών στοιχείων. Επίσης επιβάλλει τον διαχωρισμό των κεφαλαίων των πελατών. Όμως, μόνο οι μερικώς αποκεντρωμένες υπηρεσίες κρυπτογράφησης υπόκεινται στις ρυθμίσεις του MiCA, ενώ οι πλήρως αποκεντρωμένες υπηρεσίες που παρέχονται χωρίς μεσάζοντες εξαιρούνται από το πεδίο εφαρμογής του. Εξάλλου, ο MiCA ενδέχεται να εμποδίσει την καινοτομία, καθώς ενδέχεται να μην λαμβάνει υπόψη τα μοναδικά χαρακτηριστικά των αποκεντρωμένων συστημάτων, οπότε θα οδηγήσει σε υψηλότερο κόστος συμμόρφωσης, μειωμένη καινοτομία και δυσκολία εισόδου νέων παικτών στα DeFi.

Η Πράξη για την ψηφιακή επιχειρησιακή ανθεκτικότητα (DORA) επικεντρώνεται κυρίως στην ενίσχυση του χρηματοπιστωτικού τομέα της ΕΕ, όμως οι αρχές και οι απαιτήσεις της θα μπορούσαν να επηρεάσουν τις πλατφόρμες DeFi, ιδίως εκείνες που λειτουργούν εντός της ΕΕ ή εξυπηρετούν πελάτες της ΕΕ. Για την επέκταση αυτή θα έπρεπε να ισχύσουν και για τις υπηρεσίες DeFI οι απαιτήσεις λειτουργικής ανθεκτικότητας σχετικά με τα συστήματα, την ασφάλεια στον κυβερνοχώρο, την αναφορά περιστατικών και τη διαχείριση κινδύνων από τρίτους εάν παρέχουν χρηματοπιστωτικές υπηρεσίες ή αλληλεπιδρούν με παραδοσιακά χρηματοπιστωτικά ιδρύματα εντός της ΕΕ καθώς και τα πρότυπα ασφάλειας στον κυβερνοχώρο για τη διασφάλιση των κεφαλαίων των χρηστών, την αποτροπή μη εξουσιοδοτημένης πρόσβασης και τον μετριασμό του κινδύνου απάτης ή εκμετάλλευσης. Ομοίως χρήσιμη είναι η πρόβλεψη στην DORA για διαχείριση κινδύνων που συνδέονται με τους τρίτους παρόχους υπηρεσιών επιβάλλοντας απαιτήσεις για τη δέουσα επιμέλεια, την εποπτεία και τις συμβατικές ρυθμίσεις αφού και οι πλατφόρμες DeFi συχνά βασίζονται σε εξωτερικά πρωτόκολλα και άλλες υπηρεσίες τρίτων μερών, εκθέτοντάς τες σε δυνητικούς κινδύνους ασφάλειας και λειτουργικούς κινδύνους και θα πρέπει να εφαρμόζουν ισχυρές πρακτικές διαχείρισης κινδύνων από τρίτους για την αξιολόγηση της ασφάλειας και της αξιοπιστίας των εξωτερικών υπηρεσιών και τον μετριασμό του κινδύνου επιθέσεων ή ευπαθειών στην αλυσίδα.

Πώς η Οδηγία Network and Information Security (NIS 2) της ΕΕ μπορεί να επηρεάσει το DeFi στην ΕΕ; Με τη NIS 2 επιδιώκεται η βελτίωση της ασφάλειας στον κυβερνοχώρο σε ολόκληρη την ΕΕ, απαιτώντας από τους οργανισμούς σε κρίσιμους τομείς να εφαρμόζουν αυστηρότερα μέτρα ασφάλειας στον κυβερνοχώρο. Η NIS 2 διευρύνει τους τομείς που καλύπτονται σε σύγκριση με την προηγούμενη οδηγία NIS και περιλαμβάνει, δυνητικά, “παρόχους ανταλλαγής κρυπτογραφημένων περιουσιακών στοιχείων”, οι οποίοι θα μπορούσαν να περιλαμβάνουν ορισμένες πλατφόρμες DeFi. Ενώ η NIS2 δεν εφαρμόζεται άμεσα στις τραπεζικές υπηρεσίες, οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα υπόκεινται σε άλλα κανονιστικά πλαίσια, όπως η οδηγία για τις κεφαλαιακές απαιτήσεις (CRD) και η οδηγία για τις αγορές χρηματοπιστωτικών μέσων (MiFID), τα οποία περιλαμβάνουν διατάξεις σχετικά με την ασφάλεια στον κυβερνοχώρο, τη λειτουργική ανθεκτικότητα και τη διαχείριση κινδύνων στον χρηματοπιστωτικό τομέα. Εάν στο εθνικό δίκαιο ταξινομηθούν στο πλαίσιο της NIS 2, οι πλατφόρμες DeFi ενδέχεται να υπόκεινται σε αυστηρότερα μέτρα κυβερνοασφάλειας, όπως η εφαρμογή ισχυρών αξιολογήσεων και στρατηγικών μετριασμού κινδύνων, η υποχρεωτική αναφορά περιστατικών κυβερνοασφάλειας στις αρχές και οι τακτικοί έλεγχοι ασφάλειας για τον εντοπισμό και την αντιμετώπιση τρωτών σημείων. Πάντως φαίνεται αβέβαιη η εφαρμογή της στα DeFi αφού δεν είναι σαφές ποιες πλατφόρμες DeFi, εάν υπάρχουν, θα εμπίπτουν στο πεδίο εφαρμογής της NIS μιας και ο ορισμός των “παρόχων ανταλλαγής κρυπτοσυσκευών” στο πλαίσιο των DeFi παραμένει προς καθορισμό. Ορισμένες πλατφόρμες DeFi που προσφέρουν υπηρεσίες παρόμοιες με τις παραδοσιακές ανταλλαγές (δανεισμός, διαπραγμάτευση) ενδέχεται να υπόκεινται άμεσα στην NIS 2, όμως ακόμη και αν δεν ρυθμίζονται άμεσα γενικώς οι σχετικές υπηρεσίες, οι πλατφόρμες DeFi που βασίζονται σε κεντρικές υπηρεσίες (custodial wallets, fiat gateways) θα μπορούσαν να επηρεαστούν έμμεσα, εάν οι εν λόγω πάροχοι εμπίπτουν στην NIS 2.

Ανεξάρτητα από το πιά ρυθμιστικά εργαλεία θα χρησιμοποιηθούν, υπάρχοντα ή μελλοντικά, η ενίσχυση της (κυβερνο)ασφάλειας των χρηματοοικονομικών υπηρεσιών DLT και οι ενδελεχείς έλεγχοι ασφαλείας από αξιόπιστες εταιρείες μπορούν να εντοπίσουν και να αντιμετωπίσουν τα τρωτά σημεία στις πλατφόρμες DLT και τα έξυπνα συμβόλαια πριν από την ανάπτυξη τους για να ελαχιστοποιήσουν τον κίνδυνο εισαγωγής ευπαθειών στα έξυπνα συμβόλαια. Η παροχή κινήτρων στην κοινότητα ασφάλειας για την εύρεση και την αναφορά ευπαθειών μπορεί, επίσης, να βοηθήσει στον εντοπισμό και την επιδιόρθωση των αδυναμιών πριν από την εκμετάλλευσή τους από επιτιθέμενους.

Μια πολυεπίπεδη προσέγγιση της ασφάλειας, που συνδυάζει τεχνικά μέτρα με λειτουργικές διαδικασίες και εκπαίδευση των χρηστών και η συνεχής ανάπτυξη των κανονισμών και η συνεργατική προσέγγιση θα είναι απαραίτητες για ένα ασφαλές και ακμάζον οικοσύστημα DeFi στην ΕΕ.

Σπύρος Τάσσης, Δικηγόρος/ Εταίρος, POTAMITISVEKRIS/ Πρόεδρος, Ελληνική Ένωση Προσωπικών Δεδομένων και Ιδιωτικότητας