BlockChain
W zeszłym roku napisałem post o możliwych konsekwencjach dla prywatności, gdy technologia blockchain zostanie zastosowana w takich obszarach jak zarządzanie edukacją, opieką zdrowotną i zasobami ludzkimi. Jednak rozwiązanie wykorzystujące łańcuch bloków może wyeliminować wady towarzyszące tradycyjnym schematom oraz przydać się podczas pracy z danymi osobowymi. Mam tu na myśli procedurę PSK (Poznaj Swojego Klienta) i ostatnie postępy w wykorzystywaniu w niej technologii blockchain.
Termin „Poznaj Swojego Klienta” (PSK) pochodzi z dziedziny usług finansowych. Banki musiały identyfikować swoich klientów, upewniać się, że nie oszukują, a także być w stanie sprawdzać ich historię kredytową. Wobec tego utworzyły komplet dokumentów oraz procedurę, która znacząco ustandaryzowała obsługę wniosków o pożyczkę.
Później model ten przejęły inne obszary biznesowe. Jeśli firma A chciała robić biznes z firmą B, musiała zdobyć wiele dokumentów obejmujących między innymi: numer rejestracyjny firmy B, NIP, numer rozliczeniowy banku i numer konta. Zwykle autentyczność tych dokumentów musiała zostać zweryfikowana przez firmę zewnętrzną, co zwiększało biurokrację.
W normalnych okolicznościach praca biurowa — wykonywanie telefonów i pozyskiwanie wymaganych informacji — zajmuje wiele czasu i jest pracochłonna. Stanowi to pewien problem. Jednak czasami urzędnicy po prostu przybijają pieczątki na dokumentach, nie sprawdzając ich dokładnie. To jeszcze większy problem.
Gdy zawiodą kontrole na poziomie biurokracji, dzieje się coś dziwnego: pojawia się jeszcze większa kontrola. Weźmy na przykład branżę bankową: jak można przeczytać w badaniu przeprowadzonym przez firmę Thomson Reuters, w 2017 roku procedury prowadzone w ramach PSK zajmowały przeciętnie 32 dni — dla porównania, w 2016 roku było to 28 dni.
Możliwe, że problem ten rozwiązałoby stosowanie podpisów cyfrowych, chociaż nadal potrzebna byłaby kontrola prawdziwości dokumentów wymaganych przez procedury PSK. Z kolei podpisy cyfrowe mogą zostać podrobione lub skradzione.
Technologia łańcucha bloków może znacząco zmniejszyć czas potrzebny na przeprowadzenie kontroli autentyczności. Komercyjni architekci łańcuchów bloków utworzyli jakiś czas temu termin węzłów uprzywilejowanych. W naszym przykładzie, gdy firma A potrzebuje kompletu dokumentów związanych z firmą B, wysyła zapytanie do węzła certyfikacyjnego (którego właścicielem jest państwo lub autoryzowany agent). Węzeł certyfikacyjny sprawdza, czy firma B zgodziła się na udostępnienie żądanych dokumentów, sprawdza ważność dokumentów (np. ich aktualność) i dopiero wtedy zwraca je do firmy A.
Wszystkie te logiczne działania można zaprogramować tak, aby miały postać inteligentnego kontraktu, i dostosować je do potrzeb obu firm. Na przykład inteligentna umowa może dostarczać pełny zestaw dokumentów lub niekompletny zestaw dokumentów — tych, które jeszcze nie wygasły, a firma B wyraziła zgodę na ich dostarczenie. W tym drugim przypadku firma A może zdecydować, czy akceptuje ryzyko kontynuowania współpracy z firmą B.
W tym przypadku elastyczność inteligentnych kontraktów daje firmom wolność wyboru, która ma zasadnicze znaczenie dla rozkwitu gospodarki rynkowej. Na przykład firma B może nie zgodzić się na dostarczenie określonego dokumentu firmie A, ale może poinformować ją, że taki dokument istnieje i został zweryfikowany przez uprzywilejowany węzeł.
Takie podejście możemy zastosować podczas pracy z danymi osobowymi klientów, gdzie zarządzanie tożsamością jest ograniczane z jednej strony przez środki chroniące przed kradzieżą, a z drugiej przez przepisy RODO. Chociaż wiedza odnośnie tego, że dany klient ma czystą historię kredytową zweryfikowaną przez wiarygodny organ, ma kluczowe znaczenie w zapobieganiu oszustw, banki nie muszą przechowywać takich danych.
Co więcej, w inteligentnych kontaktach zgoda może wygasnąć, a firma A straci dostęp do określonych dokumentów od firmy B. Mimo że jest to bardzo wygodne rozwiązanie, nadal należy zachować ostrożność odnośnie tego, jakie informacje są umieszczone w blokach wymienianych między siecią blockchain. Rozproszona baza danych powinna zawierać pewne dane charakterystyczne, takie jak sumy kontrolne czy hashe oraz daty wygaśnięcia. Dostępność tych informacji — jak również dane na temat żądań i zgód — w rozproszonej księdze może zredukować czas wymagany na przejście procedur PSK z dni (lub nawet miesięcy) do godzin, a nawet minut!
Nie mówię tu czysto teoretycznie. Firma IBM wspiera od 2015 r. komercyjną platformę blockchain Hyperledger, a firma zaprezentowała już działający dowód koncepcji PSK dla grupy lokalnych banków, w tym Deutsche Bank i HSBC. Z kolei w obszarze B2C firma NEC aktywnie promuje jednoetapowe rozwiązanie PSK, którego celem jest poprawa wrażenia klienta.
Aby mieć pewność, że wszystko działa jak należy, należy zwrócić szczególną uwagę na inteligentny kontrakt stojący za takim rozwiązaniem. Inteligentne kontrakty nie są odporne na błędy, które w tym przypadku zrujnują pomysł bezpiecznej automatyzacji PSK. Aktualna kultura tworzenia inteligentnych kontraktów jest daleka od ideału.
Dlatego trzon naszego pakietu zabezpieczającego łańcuch bloków stanowi analiza kodu inteligentnej umowy. Nasi eksperci ds. ochrony przed szkodliwymi programami rozpoznają znane luki w bezpieczeństwie i błędy projektowe, jak również poszukują nieudokumentowanych funkcji w inteligentnych umowach. Prezentują oni szczegółowy raport na temat wszelkich wykrytych luk i dostarczają wskazówki odnośnie ich eliminowania. Więcej informacji znajduje się na stronie internetowej rozwiązania Kaspersky Blockchain Security.
Porady