Об осознанном потреблении цифровых ресурсов. По следам дискуссии «Ограбление по... Сложно ли взломать и присвоить себе NFT-токен?» на ноябрьском The Standoff 365
Целеустремлённо и сосредоточенно шагая к своей основной (ИМХО) цели – «сделать результативную кибербезопасность доступной для отдельных компаний, отраслей и даже государств», компания Positive Technologies также позволяет себе совершать исследовательские экскурсы в экзотические области цифровизации, кибербезопасность в которых затрагивает интересы людей и компаний, для которых «измеримая и результативная защищённость, подразумевающая, что критические риски не могут быть реализованы» – это задача третьего или даже более глубокого уровня интересов.
А на первом месте – «срубить бабла» на растущем хайпе. К числу таких хайповых направлений цифровизации относится оборот т.н. «цифровых активов» (ЦА).
Теме кибербезопасности оборота одной из разновидностей ЦА, т.н. «NFT-токенов» была посвящена недавняя дискуссия «Ограбление по... Сложно ли взломать и присвоить себе NFT-токен?» на секции The Standoff Digital Art, организованной в рамках мероприятий по представлению бета-версии киберполигона The Standoff 365.
В связи с работой секции и темой дискуссии для начала уместно привести пару цитат из независимых источников:
«NFT-токен (невзаимозаменяемый токен) — уникальный цифровой сертификат, который хранится в блокчейне, гарантирует оригинальность предмета. NFT-токены стали популярными в 2021 году после того, как в марте аукционный дом Christie’s продал работу художника Beeple в виде NFT за $69,3 млн. Свои невзаимозаменяемые токены начали выпускать не только художники, но и музыканты, спортсмены и другие знаменитости. Новая сфера пока никак не регулируется, что вызывает множество юридических вопросов».
(https://www.rbc.ru/crypto/news/60e2f4609a794732c30fc130)
«В последнее время в СМИ много говорят и пишут о «токенизации» картин и других произведений искусства. Но что, собственно, это значит? Из публикаций обычно не представляется возможным понять, какой конкретно смысл автор вкладывает в этот термин (а часто создаётся впечатление, что никакого и не вкладывает)».
(https://zakon.ru/blog/2021/08/21/blokchejn_i_nft_dlya_chajnikov_voprosy_i_otvety)
Кроме самостоятельно познавательной ценности эти высказывания генетически связаны между собой ИМХО фрагментом из первой цитаты «… аукционный дом Christie’s продал работу художника Beeple в виде NFT …».
Ключевые слова здесь – «… продал … в виде NFT …», которые могут вызвать когнитивный диссонанс в сочетании с определением NFT-токена в качестве «сертификата» и сложившимися представлениями о «классических» смыслах глагола «продал», которые никто не отменял.
Суть эксперимента, проведённого в рамках секции The Standoff Digital Art, заключалась в создании (программировании?) нескольких смарт-контрактов на «продажу» произведений современного цифрового искусства. В смарт-контракты были сознательно заложены разные уязвимости, после чего упомянутые контракты были размещены в тестовом сегменте блокчейн-площадки Ethereum и объявлен конкурс на их взлом. В результате за несколько часов небезопасно законтрактованные произведения ушли в качества приза успешным хакерам, реализовавшим возможности тестовых уязвимостей, которые вполне могли оказаться в иных ситуациях вполне себе реальными.
ОПИСАННАЯ СИТУАЦИЯ БАНАЛЬНА с академической точки зрения (насколько академичность можно связывать со сферой ИБ), а произошедшее, вероятно, может быть легко разобрано «по полочкам» специалистами по безопасности технологии блокчейн в контексте стандартов площадки Ethereum и лакун языка программирования смарт-контрактов.
При этом, как упоминалось на дискуссии, имеются возможности как программирования смарт-контрактов что называется ab initio, так и использования как бы «апробированных» шаблонов таких контрактов. Можно также заказать аудит безопасности предполагаемых к использованию смарт-контрактов, хотя эта опция не из дешёвых и при этом не обеспечивает абсолютных гарантий. И конечно же следует использовать лишь самые «свежие» версии инструментария разработки смарт-контрактов и проверенные версии библиотек, каковые предполагается использовать.
БОЛЕЕ ИНТЕРЕСНЫ наблюдения, сделанные в ходе дискуссии, и выводы, которые вполне логично можно сделать на основе этих наблюдений и предшествующего опыта внедрения инноваций, в том числе и не только цифровой природы.
Уместно начать с того, что хотя оборот NFT-токенов, который порождается технологией т.н. «смарт-контрактов», на сегодняшний день выглядит для регуляторов менее безобидным по сравнению с оборотом тех ЦА, в обозначение которых добавлено ещё и определение «финансовый» (ЦФА), и синонимом наименования которых является слово «криптовалюта», государство не спешит с правовой легализацией NFT-токенов.
По крайней мере, не спешит с правовой легализацией до той степени, что позволила бы сформировать единые взгляды на правоприменение в сфере оборота NFT-токенов.
Для того, чтобы избежать упрёков в необоснованного частного оценочного суждения по этому поводу (прозвучавших в ходе дискуссии от лиц, утверждавших, что «закон о ЦФА уже принят»), уместно вновь обратиться к мнению практикующих профессионалов:
«Специальное регулирование продажи невзаимозаменяемых токенов в российском налоговом законодательстве отсутствует (законопроект об изменениях в Налоговый кодекс РФ еще рассматривается, но он также не регулирует подробно этот аспект). …Налоговые последствия продажи NFT будут зависеть от договорной модели, по которой работает конкретная площадка, выпускающая NFT».
(https://www.rbc.ru/crypto/news/60e2f4609a794732c30fc130)
«Вопрос перехода исключительных прав на сами объекты интеллектуальной собственности пока что никак не урегулирован. … Если между создателем и покупателем NFT отсутствует юридическое соглашение, исключительные права не переходят к покупателю вместе с покупкой токена. Иные правила могут быть установлены в правилах платформ, но на сегодняшний день типовые условия крупнейших платформ не содержат таких норм. Вероятно, что платформы предоставят создателям NFT-токенов право самим выбирать условия лицензий в будущих версиях продукта».
(https://vc.ru/legal/220843-pravovye-aspekty-nft-pochemu-vypiska-iz-egryul-eto-schitay-chto-nft-no-ne-sovsem)
Уместно также процитировать и статью 1 Федерального закона от 31.07.2020 N 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации»:
«1. Настоящим Федеральным законом регулируются отношения, возникающие при выпуске, учете и обращении ЦИФРОВЫХ ФИНАНСОВЫХ АКТИВОВ, особенности деятельности оператора информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператора обмена цифровых финансовых активов, а также отношения, возникающие ПРИ ОБОРОТЕ ЦИФРОВОЙ ВАЛЮТЫ в Российской Федерации».
Т. е. «закон о ЦФА» – это не совсем про ввод в правовой оборот NFT-токенов.
Ситуация усугубляется ещё и уже упомянутыми обстоятельствами, заключающимися в том, что оборот NFT-токенов зачастую поддерживается бизнес-структурами, для которых ИБ – это задача третьего или даже более глубокого уровня интересов.
«Не так давно хакнули NFT-биржу Nifty Gateway и украли NFT-токенов на сотни тысяч долларов. Руководство биржи считает, что именно двухфакторная авторизация могла бы помочь».
(https://vc.ru/legal/220843-pravovye-aspekty-nft-pochemu-vypiska-iz-egryul-eto-schitay-chto-nft-no-ne-sovsem)
Но поздно пить боржоми! И что помешало «руководству биржи» использовать обыденную технологию кибербезопасности?
Правда, следует заметить, что в ходе дискуссии упоминались некие анонимные криптобиржи, в которых вопросы Аутентификации/Идентификации/Авторизации решаются истребованием от пользователя информации, объём которой (упомянутый экспертами) можно считать находящимся на грани фола с точки зрения законодательства о персональных данных. Но эта информация класса ОБС.
Наряду с киберИБнебрежностью владельцев площадок для оборота ЦА (среди которых нельзя исключить наличие скрытых мошеннических структур) беспокойство вызывает и наивность потенциальных пользователей т.н. «криптобирж»: «Можно не беспокоиться о безопасности. Это же блокчейн!»
Хотя ещё в 2018 году на Инфофоруме был представлен доклад Positive Technology «Блокчейн на финансовых рынках: новые возможности и новые угрозы» с детальным разбором того, как легко появляются угрозы информационной безопасности на всех этапах жизненного цикла технологии, казалось бы безупречно отработанной академическим сообществом.
И тут уместно взглянуть на тему дискуссии «Ограбление по... Сложно ли взломать и присвоить себе NFT-токен?» под углом ответа на вопрос «Кому он нужен, этот … ?»
Здесь вновь уместно обратиться к мнению юридических профи:
«Термин «токенизация» любит использовать пресса, но у него нет сколько-нибудь определённого правового значения. … конкретный смысл «токенизации» не предопределён. Всё зависит от конкретных условий выпуска токена или двустороннего договора между продавцом и покупателем токена. Разумеется, при желании того же правового эффекта можно достичь без всякой токенизации, а просто подписанием договора».
(https://zakon.ru/blog/2021/08/21/blokchejn_i_nft_dlya_chajnikov_voprosy_i_otvety)
И при таких обстоятельствах невольно задаёшься вопросом об уместности растранжиривания на глобальную блокчейн-технологию с сомнительной прикладной ценностью для общества в целом ограниченных ресурсов окружающей нас киберсреды (ресурсов интеллектуальных и ресурсов физических в виде емкостей систем хранения информации и пропускной способности систем обмена информацией).
Единственным аргументом адептов технологии NFT-токенов в ходе дискуссии было утверждение о том, что «Технология дарит свободу digital художникам!», и как бы позволяет в ходе загородной самоизоляции в сауне не прерывать «торговли» Digital Art-объектами.
Однако при этом адепты как минимум просто упускают из виду, что основные проблемы при такой торговле – это грамотно сформулированный обычный текстовый договор, а не безупречно работающий Интернет, с доступностью которого, впрочем, уже сегодня просматриваются проблемы.
.jpg)
.jpg)
.jpg)