“On yhä vaikeampaa todistaa, että olet todella sinä itse.” Tämä Federico Variolan, Phemexin toimitusjohtajan, huomio kuvastaa kasvavaa huolta koko kryptoteollisuudessa – huolta, joka ulottuu pitkälle ohi älykkäiden sopimusten tai infrastruktuurien virheiden.
Tuoreessa paneelikeskustelussa Ian Rogersin (Ledgerin Chief Experience Officer) ja Dmitry Budorinin (kyberturvallisuusyritys Hackenin perustaja ja toimitusjohtaja) kanssa Variola selitti, miten kryptovaluuttojen turvallisuusuhat ilmenevät käytännössä. Vaikka tekoäly muuttaa työkaluja, heikoin lenkki on edelleen ihminen – tapa, jolla kommunikoidaan, soitetaan nopeasti ja päätetään kehen luottaa.
Moni asia juontaa tavallisista tavoista. Vaihtoalustoilla ja lompakoissa jaettu ymmärrys on, että rutiinit vaikuttavat tapahtumiin. Federico Variolalle tämä näkyy suoraan siinä, miten pörssit rakentavat prosesseja, lisäävät kitkaa sekä hallitsevat käyttäjien kanssakäymistä lompakoiden, sosiaalisen median ja on-chain-identiteettien kanssa.
Enemmän arvoa, suuremmat tavoitteet
Keskustelun alussa Federico käsitteli kysymystä, joka askarruttaa kryptoteollisuutta: onko krypton turvallisuus heikentynyt vai ovatko hyökkääjät yksinkertaisesti vahvempia?
“Voi hyvin todeta, että tämä vuosi on kyberrikollisuuden pahin vuosi, ja ensi vuosi on vielä pahempi. Tämä ei johdu siitä, että emme osaisi suojautua – vaan siitä, että arvoa on enemmän. Mitä enemmän arvoa, sitä suurempi palkinto. Ja kun palkinto kasvaa, yhä useampi yrittää saada siitä osansa.”
Krypton kasvaessa hyökkääjien motivaatiot kasvavat samoin. Variolan mukaan tämä aiheuttaa jatkuvaa epätasapainoa, jossa hyökkäyskyvykkyydet kehittyvät usein nopeammin kuin suojaukset, erityisesti härkämarkkinoiden aikana.
“Todennäköisesti elämme aikaa, jolloin hyökkäyskyvyt kasvavat nopeammin kuin suojaukset. Jokaisen bull runin yhteydessä järkevät ihmiset perustelisivat, miksi turvallisuudessa, itsehallinnassa tai molemmissa kannattaa oikaista – ja lopputulos on aina sama.”
Rogers antoi yksinkertaisen esimerkin havainnollistaakseen tätä. Jopa hyvin kokeneet kryptotoimijat ja lompakkokehittäjät ovat jääneet huijauksien, esimerkiksi Discordin tai selainlompakoiden kautta jaettujen uskottavilta tuntuvien linkkien, uhreiksi. Kokemus auttaa, mutta jatkuva tarkkaavaisuus on silti välttämätöntä.
Kun identiteetti on heikko kohta
Suurin muutos näkyy Variolan mielestä siinä, miten hyökkäykset tehdään.
“Nämä toimijat ovat hyvin resursoituja, joskus valtiollisia, ja etenevät nopeudella, johon on vaikea vastata. Samalla kaikki käyttämämme työkalut – tekoäly ja automaatio – ovat kaksiteräinen miekka. Jos me pystymme käyttämään näitä, samalla tavalla kykenevät hyökkääjätkin. Sosiaaliset hyökkäykset monimutkaistuvat. Oma henkilöllisyyteni on kopioitu ja käytetty videopuhelussa sijoittajien tai liikekumppaneiden huijaamiseen.”
Ian Rogers otti tähän kantaa laite-lompakon näkökulmasta ja totesi, että moni hyökkäys kohdistuu nykyisin ihmismieleen, ei pelkkiin teknisiin ratkaisuihin. Variolan mukaan tämä sopii yhteen pörssien näkemysten kanssa: ihmisten vakuuttaminen on usein järjestelmän murtamista helpompaa.
Rogers tiivisti paneelissa, että “kuka tahansa meistä voisi joutua ansaan.” Kokonaan kryptoon keskittyneissäkin tiimeissä tuttavuus, kiire ja taitavasti tehty sosiaalinen manipulointi riittävät usein ohittamaan normaalisti vahvat turvallisuuskäytännöt.
Pörssin todellisuus: kylmä, kuuma ja inhimillinen
Pörssin näkökulmasta Federico korosti takuiden ja olettamusten erottamista toisistaan.
“Meidän on taattava käyttäjille täysin koskematon turva, ja se on kylmälompakko. Siitä ei tingitä. Kuumat lompakot sisältävät aina riskin, koska ne ovat jatkuvasti verkossa.”
Aktiivisen markkinatilanteen aikana nämä riskit korostuvat.
“Härkämarkkinoissa käyttäjät odottavat, että kuumissa lompakoissa on varoja. Rahat liikkuvat nopeasti ja summat ovat usein merkittäviä, etenkin altcoineissa. Käyttäjien vaatimukset ovat kovia.”
Tämä paine aiheuttaa ristiriitaa. Käyttäjät haluavat nopeutta ja helppoutta, mutta turvallisuus puolestaan vaatii kitkaa.
“Turvallisuuden takaamiseksi täytyy tuoda lisää hidasteita, riippumatta käyttäjien toiveista. Tavallaan joutuu taistelemaan jopa omia käyttäjiään vastaan.”
Tämä on hankala tosiasia pörsseille, mutta Federicon mielestä välttämätöntä, mikäli tavoitteena on pitkäaikainen suoja eikä pelkkä hetkellinen tyytyväisyys.
Mitä kokemus opettaa
Paneelin aikana Variola viittasi lyhyesti viime vuonna Phemexiin kohdistuneeseen turvallisuuspoikkeamaan.
“Yksi suurimmista opeista meille oli huomata, että olimme suurempi kohde kuin kuvittelimme.”
Tärkein oppi liittyi ihmisiin.
“Allyarvioimme, kuinka laajalle levinneitä phishing- ja sosiaalisen manipuloinnin hyökkäykset ovat ja kuinka ne kohdistuvat aluksi matalimmille tasoille – harjoittelijoihin, suunnittelijoihin ja sellaisiin henkilöihin, jotka eivät pidä itseään turvallisuuden kannalta kriittisinä – ja etenevät kohti keskeisempiä rooleja.”
Dmitry Budorin vertasi suorasukaisesti toimintatapaa kalastamiseen. Jos kala ei tartu muoviseen syöttiin, hyökkääjät onnistuvat kuitenkin usein rutiinin tai pienen huomioherpaantumisen hetkellä. Hänen mielestään juuri väistämättömyys tekee näistä hyökkäyksistä vaarallisia.
Tämä ajattelutapa vastaa hyvin Variolan suhtautumista turvallisuuteen.
“Ei ole tarpeeksi, että insinöörit tai johtajat ovat tarkkaavaisia. Jokaisen organisaatiossa pitää tietää, millaisiin riskeihin hän altistuu. Jokaisen harjoittelijan täytyy olla täysin selvillä tilanteesta.”
Budorin jatkoi, että usein pääasiallinen kohde ei ole juniorityöntekijä, vaan toimitusjohtaja. Julkiset henkilöt, perustajat ja johtajat ovat suoria hyökkäyskohteita juuri näkyvyytensä ja asemansa vuoksi.
Tapauksen jälkeen Phemex nosti tietoturvatasoaan kokonaisvaltaisesti, mutta suurin muutos tapahtui organisaation sisällä.
Sosiaaliset kerrokset ja taloudelliset kerrokset eivät sovi yhteen
”Kryptoala on hyvin sosiaalinen. NFT:t, sosiaalinen media, Telegram – kaikki nämä alustat muodostavat hyökkäyskohteita.”
Federico Variola suhtautui erityisen kriittisesti siihen, miten arka tieto kulkee ympäristöissä, joita ei ole koskaan suunniteltu turvallisiksi.
”Telegram on varsinkin yksi heikoiten johdetuista alustoista turvallisuuden kannalta, mutta siitä on tullut alan viestinnän standardi.”
Hän kertoi myös, että yleinen suuntaus lompakkojen seurantaan ja julkiseen tunnistamiseen herättää hänessä epämukavuutta.
”En pidä siitä, että lompakoita seurataan yksittäisiin henkilöihin. Tämä kehitys tuntuu hyvin epä-kriptopohjaiselta. Tosiasia on, että mitä menestyneempi on alalla, sitä suuremmaksi kohteeksi joutuu ja sitä enemmän resursseja pitää käyttää oman suojan parantamiseen.”
Hajauttaminen muuttaa hyökkäysten taloudellisia edellytyksiä
Tulevaisuutta ajatellen Variola näkee hajauttamisen ja omatoimisen säilytyksen osana laajempaa muutosta kryptoturvallisuuden kehityksessä.
”Kun hajauttaminen yleistyy, turvallisuuden vastuu jaetaan useampien virhekohtien välillä. Hyökkääjien on kohdistettava hyökkäyksensä yksitellen, eivätkä he voi enää hyödyntää yhtä ’herkkää kohtaa’ – yhtä vikaantumispistettä.”
Riski ei poistu, vaan jakautuu uudelleen.
”DEX:t ja hajautetut alustat tuovat mukanaan omat haasteensa. Koodi on laki. Ketjua ei voi pysäyttää. Mukaan tulee uusia riskejä. Uskon kuitenkin, että kokonaisuudessaan tämä on myönteinen muutos alalle.”
Pörssien on siis mukauduttava, ei vastustettava muutosta.
”Keskitetyt alustat eivät katoa, mutta meidän täytyy kehittyä. Turvallisuusmallin pitää muuttua samassa tahdissa käyttäytymisen kanssa.”
Mikä kryptovaluutta taistelee yhä viiden vuoden kuluttua
Tulevaisuutta koskien Federico Variola ei pidä haastetta asiana, jonka krypto vain ”ratkaisee” ja ohittaa.
”Tekoäly tulee olemaan suurin haaste,” hän totesi. ”Vielä pidemmällä aikavälillä kvanttilaskenta tuo oman riskikerroksensa.”
Kysyttäessä auttaako tekoäly puolustajia yhtä paljon kuin hyökkääjiä, hänen vastauksensa oli selvä: ”Valitettavasti uskon, että se tehostaa hyökkääjiä enemmän kuin lisää ihmisten turvaa.”
Variola näkee tilanteen alan kypsymishetkenä. Kryptovaluutta houkuttelee merkittävää teknistä osaamista, ja turvallisuudesta on tulossa osa yritysten jokapäiväistä toimintaa ja viestintää. Järjestelmissä, jotka on rakennettu rajoittamaan luottamuksen tarvetta, huomio kiinnittyy nyt jäljellä olevien luottamuspisteiden tunnistamiseen ja niiden hallintaan järkevällä tavalla.
