ปฏิเสธไม่ได้เลยว่า “ความปลอดภัย” เป็นปัจจัยสำคัญในการทำธุรกรรมทางการเงินและการลงทุนทุกประเภท โดยเฉพาะด้านคริปโทเคอร์เรนซีหรือการซื้อขายสินทรัพย์ดิจิทัลผ่านแพลตฟอร์ม ซึ่งปัจจุบันผู้ให้บริการก็เร่งพัฒนาให้แพลตฟอร์มมีความปลอดภัยมากยิ่งขึ้น เพื่อสร้างความน่าเชื่อถือให้ผู้ใช้บริการวางใจในการฝากสินทรัพย์ของพวกเขา

ไม่นานมานี้มีข้อมูลจาก Cer.live แพลตฟอร์มจัดอันดับและรับรองความปลอดภัยในโลกไซเบอร์ (Cybersecurity Ranking and CERtification Platform) ดำเนินการโดยทีมนักวิจัยที่มีทักษะสูง ได้ประเมินความปลอดภัยของเอ็กซ์เชนจ์ชั้นนำทั่วโลกมาแล้วกว่า 270 แห่ง ได้ระบุถึงมาตรการความปลอดภัยที่ใช้วิเคราะห์และวัดระดับผู้ให้บริการซื้อขายสินทรัพย์ดิจิทัลให้เป็นไปตามมาตรฐาน โดยมีปัจจัยหลัก 7 ข้อ ลองมาดูกันว่า กว่าที่จะได้รับการรับรองว่า “ปลอดภัย” จากแพลตฟอร์ม Cer.live ต้องผ่านการทดสอบอะไรบ้าง

Server Security

การสร้างความปลอดภัยให้กับระบบเซิร์ฟเวอร์ ซึ่งเป็นระบบที่มีความสำคัญและมี Service หลากหลายรูปแบบ มีการรองรับ User มากมายที่ต้องทำการเชื่อมต่อกับระบบเซิร์ฟเวอร์นี้ ยกตัวอย่างเช่น มีการรับรอง Secure Sockets Layer และ Transport Layer Security (SSL/TLS) ซึ่งเป็น Protocol ที่ใช้สำหรับเข้ารหัสและป้องกันข้อมูลในขณะที่มีการส่งข้อมูลกันข้ามระบบอินเทอร์เนต วิธีสังเกตว่าแพลตฟอร์มหรือเว็บไซต์ของ Exchange ไหนที่มีการใช้งาน SSL/TLS จะดูได้จาก URL ที่จะมีคำขึ้นต้นว่า https (Hypertext Transfer Protocol Secure) นั่นเอง

User security

ความปลอดภัยในฝั่งของผู้ใช้งานเองก็เป็นสิ่งที่จำเป็นที่เจ้าของบัญชี/กระเป๋าสินทรัพย์ดิจิทัลเองต้องป้องกันและดูแลอย่างรอบคอบและระมัดระวัง ป้องกันและสร้างความปลอดภัยให้กับบัญชีมีหลากหลายรูปแบบไม่ว่าจะเป็น การสนับสนุนให้ผู้ใช้งานเปิดใช้ระบบ 2FA (Two-factor Authentication) ที่มีการยืนยันตัวตน 2 ชั้น ผ่านโทรศัพท์มือถือ หรือแม้กระทั่งการแนะนำและกำหนดให้ผู้ใช้งานสร้างรหัสผ่านที่แข็งแกร่ง (อักษรตัวเล็กและใหญ่ อักขระพิเศษ ความยาวมากกว่า 12 ตัวอักษร) ก็เปรียบเสมือนได้สร้างกำแพงหลายชั้นไว้ป้องกันภัยที่ต้องการจะลุกล้ำเข้าถึงสินทรัพย์ของเราได้

Penetration Test

การผ่านการทดสอบ Penetration Test หรือ PenTest ที่เป็นการทดสอบความปลอดภัยโดยวิศวกรความปลอดภัยมืออาชีพที่ได้ทำการเลียนแบบการโจมตีทางไซเบอร์เพื่อระบุจุดอ่อนในระบบของแพลตฟอร์มนั้น ๆ  แม้ว่าการทดสอบจะไม่สามารถสร้างความเสียหายได้จริง ๆ ก็ตาม แต่วิศวกรด้านความปลอดภัยจะใช้เครื่องมือและข้อมูลเดียวกันกับที่ผู้ไม่ประสงค์ดีใช้โจมตีที่เหมือนจริงมากที่สุด

Proof of Funds

เรื่องการพิสูจน์หลักฐานการเงินนี้มีความสำคัญมาก เป็นตัวชี้วัดที่ทำให้เห็นสภาพคล่องของ Exchange ซึ่งผู้ใช้เองจะมีความคาดหวังว่าพวกเขาจะสามารถเข้าถึงและถอนเงินออกจากการแลกเปลี่ยนได้ตลอดเวลา โดยหลักฐานที่ต้องแสดงให้เห็นว่า Exchange นั้นมีความสามารถและความพร้อมด้านเงินทุนในการดำเนินกิจการอยู่จริง บนแพลตฟอร์ม cer.live นั้นจะมีเงื่อนไขอยู่ว่าต้องมียอดคงเหลือมูลค่าเกิน 1 ล้านดอลลาร์สหรัฐสำหรับเหรียญ ETH และ BTC ทั้งบนกระเป๋าออนไลน์ Hot wallet และ Cold Wallet กระเป๋าเงินเย็นไว้เป็นคลังเก็บ Crypto โดยไม่มีการเชื่อมต่อกับอินเทอร์เน็ต หากผ่านหลักเกณฑ์นี้ก็จะได้รับเครื่องหมายว่า Exchange นั้นมี Proof of Funds

Bug bounty

Bug Bounty หรือ การล่าบั๊ก เป็นวิธีการรับรายงานข้อบกพร่องด้านความปลอดภัยจากแฮกเกอร์และนักวิจัยด้านความปลอดภัยอิสระก่อนที่อาชญากรไซเบอร์จะใช้ประโยชน์จากช่องโหว่เหล่านั้นจริง ๆ บนแพลตฟอร์มของ cer.live มีวิธีการแยกต่างหากสำหรับการประเมินคุณภาพของตัวชี้วัดนี้ ยกตัวอย่างเช่นมีการเผยแพร่โปรแกรม Bug Bounty บนเว็บไซต์ของ Exchange

• อนุญาตให้ใช้การทดสอบแบบ Intrusive Testing

• ครอบคลุมระบบโครงสร้างพื้นฐานทั้งหมด

• มีโครงสร้างในขอบเขต/นอกขอบเขตและกฎของโปรแกรมที่ชัดเจน

• มี Hall of frame ให้กับนักล่า Bug Bounty

• มีสถิติที่ชัดเจนเกี่ยวกับรายงาน, การมอบรางวัล และ ข้อตกลง SLA

ISO 27001

การได้รับมาตรฐาน ISO/IEC 27001 ซึ่งเป็นที่ยอมรับในระดับสากลซึ่งช่วยให้องค์กรต่าง ๆ จัดการและปกป้องทรัพย์สินทางข้อมูลเพื่อให้มีความปลอดภัย จะช่วยสร้างมาตรฐานในการพัฒนาด้านการเพิ่มระบบความปลอดภัยให้ดียิ่งขึ้นไป 

ประโยชน์ของมาตรฐาน ISO/IEC 27001 คือช่วยระบุความเสี่ยงจะเกิดขึ้นทั้งข้อมูลรั่วไหลหรือการถูกโจมตีและเข้าควบคุมการจัดการเพื่อลดความเสียงองค์กรของคุณ นำความยืดหยุ่นเข้ามามีบทบาทในการควบคุมหรือพัฒนาธุรกิจของคุณ สร้างความมั่นใจให้กับลูกค้าว่าข้อมูลของพวกเขาปลอดภัย และแสดงให้เห็นถึงการปฏิบัติตามที่กำหนดสากลและได้รับการรับรองจากมาตรฐานระดับโลก เห็นถึงความน่าเชื่อถือและความไว้วางใจ

Funds Insurance

หนึ่งในตัวชี้วัดสร้างความอุ่นใจให้กับเจ้าของสินทรัพย์ที่เราเก็บไว้ใน Exchange นั่นก็คือการมีกองทุนประกัน ซึ่งถือว่าเป็นการบริหารความเสี่ยงภัยวิธีหนึ่งของ Exchange หากเกิดเหตุไม่คาดฝันหรือความเสียหายกับสินทรัพย์โดยทางบริษัทประกัน, ผู้ดูแลเก็บรักษาสินทรัพย์หรือผู้รับฝากทรัพย์สินจะเป็นผู้ดูแลและชดใช้หากได้มีการทำสัญญากันไว้ โดยวงเงินคุ้มครองก็จะแตกต่างกันไปขึ้นอยู่กับแผนความคุ้มครอง

แต่การได้รับมาตรฐานความปลอดภัยก็ใช่ว่าจะปราศจากความเสี่ยงแบบ 100% เพราะการทำธุรกรรมออนไลน์ทุกรูปแบบย่อมมีภัยคุกคามในรูปแบบใหม่ ๆ มาให้เห็นกันเสมอ การระมัดระวังอาจจะต้องเริ่มมาจากตัวผู้ใช้งานด้วยที่ต้องศึกษาหาวิธีดูแลป้องกันสินทรัพย์ของเราให้ปลอดภัย และควรลงทุนในจำนวนสินทรัพย์ที่เราสามารถยอมรับความเสี่ยงได้หากเกิดมีการสูญหายไป

อ้างอิง: cer.live, Bitkub Security, CloudHM, Investoedia

บทความโดย: www.bitkub.com/blog