VeChain voldoet aan het Cryptocurrency Disaster Recovery Plan van PwC

Met het vertrouwen dat VeChain heeft gekregen van haar klanten en partners, is het ook hun taak om trendsetter te zijn op vlak van veiligheid en verzekering van hun blockchain oplossingen. Zo slaagde VeChain als eerste in het Cryptocurrency Disaster Recovery Plan (CDRP) dat voldoet aan de eisen van geaccrediteerde bedrijven en dat is goedgekeurd door PwC. Dit is de eerste in zijn soort ter wereld en biedt een standaard voor DRP op bedrijfsniveau en risicobeheer op blockchain-oplossingen en cryptocurrency, zowel op digitale als fysieke wallets.

1. Doel van CDRP

Gezien de unieke en speciale kenmerken van cryptocurrency, moet CDRP een kwaliteitskader vormen voor de grote hoeveelheid dagelijkse transacties zodat deze voldoen aan de SOX 404, systeem- en organisatiecontroles (SOC), ISO 27001, evenals de belangrijkste lifecycle managementcontroles van de WebTrust-normen. Dit om te voldoen aan de behoeften van grote zakelijke gebruikers en de wettelijke vereisten.

2. Definitie van CDRP

In de CDRP zijn verschillende soorten dreigingsscenario's gedefinieerd op basis van de ernst en de waarschijnlijkheid ervan, en overeenkomstige controles en procedures om de crypto data te beschermen tegen deze bedreigingen.

Type I - Adverse events (laag risico):
Adverse events zijn waarneembare gebeurtenissen in een systeem of netwerk met een negatief gevolg. Deze gebeurtenissen hebben geen directe invloed op de veiligheid en integriteit van digitale wallets of privésleutels en kunnen meestal onmiddellijk worden verholpen door beperkte ingrepen van de systeembeheerder. Voorbeelden hiervan zijn:
- Verlies van accountwachtwoord voor exchange
- Systeemcrash op een apparaat dat een digitale wallet bevat
- Detectie van virussen of malware in het netwerk
- Detectie van verdachte activiteiten of aanvalspogingen vanuit het internet of interne netwerken op de apparaten die geen digitale wallets bevatten

Type II - Beveiligingsincident (gemiddeld risico):
Beveiligingsincidenten verwijzen naar een overtreding of een onmiddellijke dreiging van schending van het beveiligingsbeleid van VeChain, wat kan resulteren in directe gevolgen voor de veiligheid en integriteit van digitale wallets of privésleutels. Gewoonlijk zijn er dan meerdere partijen nodig om samen te werken om de digitale wallet te herstellen via keystore-herstelprocedures of om de privésleutel opnieuw te back-uppen onder toezicht van onafhankelijke partijen. Voorbeelden:
- Ongeautoriseerd gebruik van systeemrechten of toegang tot gevoelige gegevens in het netwerk
- Apparaten die digitale wallets opslaan, worden beïnvloed door virussen of malware
- Hardwareschade van de computer of het USB-station waarop de keystore-bestanden zijn opgeslagen
- Verlies van het wachtwoord voor digitale transacties

Type III - Private Key Compromise (hoog risico):
Het verlies van de privésleutel of keystore-bestand als gevolg van beveiligingsincidenten, netwerkcompromissen, natuurrampen of door de mens veroorzaakte rampen, die aanzienlijke directe gevolgen hebben voor de beveiliging en integriteit van digitale wallets of privésleutels. Als er zich een Type III-gebeurtenis voordoet, worden de procedures die in de CDRP zijn gedefinieerd onmiddellijk geactiveerd om de digitale wallets te vervangen en alle crypto-activa naar de nieuwe adressen over te brengen.

VeChain gebruikt twee soorten cryptocurrency-opslagmethoden, d.w.z. een "warme" wallet voor dagelijkse bewerkingen en frequente uitgaven, en de rest wordt opgeslagen in koude portefeuilles. (offline)

3. CDRP-procedures

Op 19 januari 2018 simuleerde VeChain enkele worst case scenario's, zoals gedefinieerd in de CDRP in aanwezigheid van PwC. Het hele proces duurde ongeveer 6 uur en de reikwijdte van de CDRP omvatte alle digitale wallets die eigendom zijn van VeChain.

De procedures:
- Alle digitale wallets worden opgeslagen op offline laptops die in kuizen worden vergrendeld. Laptops die warme wallets opslaan, maken alleen verbinding met internet wanneer dat nodig is.
- De toegangen tot het wachtwoord voor de wallet, het wachtwoord voor het aanmelden op de laptop en het wachtwoord voor de kluis moeten worden gescheiden;
- Keystore-bestanden moeten worden opgeslagen in gecodeerde USB-stations die in de kluis worden bewaard;
- Versleutelde USB-wachtwoorden en kluis-wachtwoorden kunnen niet in het bezit zijn van dezelfde persoon;
- Privésleutels worden afgedrukt met een offline printer tijdens de creatie van de digitale wallet en onmiddellijk verzegeld in enveloppen overgebracht naar de safe in de bank.
- Het transport van de verzegelde envelop moet worden uitgevoerd door de toezichthouder van de bank en worden begeleid door het interne controlepersoneel en een onafhankelijke externe inspecteur die moeten controleren of de enveloppen verzegeld blijven voordat ze in de safe worden geplaatst.
- De bankkluis kan alleen worden geopend met de aanwezigheid van alle sleutelhouders, interne controlepersoneel en onafhankelijke externe inspecteur.
- De locatie van de kluis die de keystore-bestanden opslaat, moet zich op redelijke afstand van de kluis van de bank bevinden om de gevolgen van natuurrampen te voorkomen.

5. Resultaten van de CDRP-test

De test was een groot succes. Naarmate meer bedrijven gebruik maken van de blockchain-technologie en in crypto-activa investeren, het absoluut noodzakelijk is om goede procedures te ontwikkelen en beveiliging van bedrijfsniveau op te zetten. Door dit proces goed af te ronden, volgens de normen van PwC, zijn VeChain Thor en VeChain een stap verder om tegemoet te komen aan de eisen die een product op massaconsumptie-niveau moet aankunnen.