文 / 勤業眾信聯合會計師事務所風險諮詢部門執行副總經理 曾韵
從比特幣(Bitcoin)興起以來,作為它的帳本系統,區塊鏈技術也逐漸受到重視。區塊鏈透過點對點網路架構(P2P,peer-to-peer),實現了一個去中心化的系統(透過集體維護,使區塊鏈內的資料更可靠),並有不易竄改紀錄、低成本等優勢,在記錄資料上,更敏捷、安全,各大企業、政府都開始找尋適合的應用領域。
勤業眾信調查各國企業高管對區塊鏈的看法,2018 年有 74% 的人指出,已經見識到「有說服力的商業案例」;34% 的受訪者說,公司開始建立區塊鏈應用系統。到了 2019 年,高達 81% 的受訪者表示,他們正運用區塊鏈系統取代既有的資料紀錄系統。
例如,2019 年 4 月瑞士雀巢公司(Nestlé)和法國連鎖超市家樂福(Carrefour)與 IBM 攜手,運用區塊鏈技術記錄食品產銷履歷,在馬鈴薯泥的產品包裝袋上印製 QR code,消費者即可到區塊鏈上查詢馬鈴薯的品種、生產日期和地點等資訊。
然而,區塊鏈雖然可以用來記錄金融交易、存儲醫療紀錄,甚至通過供應鏈追蹤物流,本質上仍是一個複雜的分類帳簿系統,需要結合企業現行的業務系統,在過程中仍有許多潛在資安風險,不得不防。
整合區塊鏈與既有系統,衍生多項資安議題
舉例來說,使用區塊鏈技術記錄食品產銷履歷,仍需要由人員輸入資料,或透過生產線機器自動紀錄,如果沒有控管好輸入的資料、設置監控機制,輸入錯誤訊息,將直接導致這些資料寫入區塊鏈系統,且歷史紀錄不易修改,衍生問題。
因此,勤業眾信 2019 年的調查也發現,企業高管坦言,使用區塊鏈技術還是有許多挑戰,分別為「法令遵循議題」「如何取代或調整現行系統」「可能出現資安威脅」。由此可見,雖然多數人看好區塊鏈發展潛力,也了解到附加的問題,像是如果沒有考慮資料所有權、個人資料保護等議題,將造成法遵風險;如果不當寫入資料,可能造成外洩的資安危機。
進一步來看,要在區塊鏈應用上做好資安防護,要把「資訊系統既有的議題」以及「區塊鏈技術所衍生的議題」分類檢視。資訊系統既有的議題,主要包含軟體開發安全、存取控制管理、變更管理、金鑰管理等。
- 軟體開發安全
把資料寫入區塊鏈系統,需要開發應用軟體,好比智能合約(smart contract)就是在區塊鏈系統上執行的一種應用程式。因此,如何開發安全的系統是重要議題。有幾個資安事件的起因,就是不安全的軟體或智能合約設計。
- 存取控制管理
誰可以讀取資料、誰可以寫入資料,一直是企業規畫存取控制最基本的兩個問題,區塊鏈系統也一樣,尤其在跨國或跨企業間的應用場景中,此議題更為重要。
- 變更管理
作為跨企業間的資料交換與紀錄系統,如何進行區塊鏈系統的異動,是個重要的議題,假如不同企業內部與不同類型的系統介接時,想要降低影響、確保穩定,困難度會大幅提高。
- 金鑰管理
透過加密技術保護重要資料,以及透過數位憑證驗證數位身份,已是網路應用的基本概念,而引入現代密碼學與金鑰技術的區塊鏈系統也是如此,企業應該安全的保管持有的金鑰與數位憑證。
區塊鏈雖有不易竄改的特性,還是要做好基本風控
區塊鏈技術所衍生的議題,主要包含資料的正確與有效性、網路安全管理、智能合約管理等。
- 資料正確性與有效性
因為技術限制,區塊鏈並不能作為企業資料庫使用,但它的紀錄不易竄改,讓它可作為好的資料提供來源,如民眾就診紀錄等。
我們可以因為不易竄改的特性,一定程度相信資料的正確性,降低驗證成本。然而,設計一個良好的流程、確保寫入資料的有效性與正確性,還是非常重要,一旦沒有做好設計與管理,錯誤寫入資料,還是會因資料不正確,產生嚴重的資安議題。
- 網路安全管理
網路安全管理是資訊系統既有的議題,但因為區塊鏈技術的特性,使得它的重要性再次提升,例如惡意的大量連線,對區塊鏈系統所造成的破壞,可能大於傳統的網路應用系統(如網站、email)。
- 智能合約管理
智能合約是一種應用程式,當滿足一組預先設定的條件時,區塊鏈系統將自動執行程式所設定的內容。
智能合約為企業帶來很大的發展想像與應用潛力,如保險自動理賠、貿易金融中的自動撥款等應用場景。但是,因為自動執行的特性,錯誤的智能合約,將帶來極大的資安風險。
圖片來源 / Panchenko Vladimir via Shutterstock
【延伸閱讀】
(本文經授權轉載自《經理人月刊》2020年1月號,未經授權禁止轉載。)
