ITanalyze

آسیه فروردین - بررسی پیامدهای جدید امنیت سایبری که در صورت صدور ارز دیجیتال بانک مرکزی (CBDC) توسط ایالات متحده یا کشور دیگری ممکن است ظاهر شود، قابل توجه است‌. بانک‌های مرکزی، امنیت سایبری را یک چالش بزرگ در نظر می‌گیرند که قبل از صدور CBDC باید به آن رسیدگی شود‌.

فدرال رزرو ایالات متحده(United States Federal Reserve) ، تامین امنیت دلار و سیستم مالی بین‌المللی را از ضروریات اصلی امنیت ملی می‌داند‌. 
بر اساس تحقیق شورای آتلانتیک  (Atlantic Council research)، در حال حاضر 105 کشور، در حال تحقیق و کاوش در مورد صدور احتمالی CBDC هستند که 15 کشور در مرحله آزمایشی و 10 کشور، به طور کامل آن را راه‌اندازی کرده‌اند اما بیشتر کشورها، در حال حاضر، در مرحله آزمایشی یا توسعه هستند‌. این موضوع، پرسش‌های ضروری را درباره امنیت سایبری و حریم خصوصی مطرح می‌کند‌. یک سیستم ارز دیجیتال دولتی، قادر به جمع‌آوری، متمرکز کردن و ذخیره مقادیر انبوهی از داده‌های حساس افراد است اما لزوما نباید این‌ کار را انجام دهد، چون نگرانی‌هایی در مورد حفظ حریم خصوصی ایجاد می‌کند‌. این امر، همچنین می‌تواند به یک هدف اصلی برای کسانی تبدیل شود که به دنبال بی‌ثبات کردن سیستم مالی یک کشور هستند‌.

• سه نکته
سوالات درهم تنیده سیاست، طراحی و امنیت برای این امر مهم ‌است‌. امنیت برای تمرکز سیاست‌گذاران بر نحوه ساخت CBDCهای ایمن که از داده‌های کاربران، محافظت و ثبات مالی را حفظ می‌کند ضروری است‌. بررسی‌ها نشان می‌دهد در طراحی‌های CBDC، حفظ حریم خصوصی، نه تنها ممکن است، بلکه دارای مزایای امنیتی ذاتی در مقایسه با سیستم‌های پرداخت فعلی است و امکان دارد خطر حملات سایبری را کاهش دهد‌. در این شرایط:
1. فرایند فدرال رزرو، به عنوان مبنایی برای اقدامات فعلی امنیت سایبری بانک‌های مرکزی لحاظ می‌شود‌.
2. مفاهیم جدید امنیت سایبری، طرح‌های بالقوه مختلف CBDC را به‌طور عمیق بررسی می‌کند‌.
3. اصول قانونی و نظارتی، برای سیاست‌گذاران در ایالات متحده و فراتر از آن، برای تعیین شرایط مشخص شده است‌.

• اصول قوانین و مقررات آینده برای CBDCهای ایمن 
 با توجه به اینکه اکثر دولت‌ها، از جمله در ایالات متحده، هنوز در حال بررسی این موضوع هستند که آیا باید یک CBDC  ایجاد کنند یا خیر، این گزارش، اصول کلیدی را برای کمک به راهنمایی سیاست‌گذاران و رگولاتورها، درباره نحوه استقرارCBDC ، با لحاظ کردن مراقبت شدید از امنیت سایبری شناسایی می‌کند:

 اصل 1: در صورت امکان، از چارچوب‌ها و مقررات مدیریت ریسک موجود استفاده کنید‌.
بسته به طراحی CBDC، سیاست‌گذاران و رگولاتورها باید ارزیابی کنند کدام حوزه‌های یک اکوسیستم جدیدCBDC ، تحت پوشش قوانین فعلی قرار می‌گیرد‌. هنگام تدوین مقررات جدید برای یک CBDC، سیاست‌گذاران و رگولاتورها، باید شرایطی را برای یک اکوسیستم ارز دیجیتال امن تعیین کنند که واسطه‌های مالی را قادر به نوآوری و رقابت کند‌.

 اصل 2: حریم خصوصی می‌تواند امنیت را تقویت کند‌.
طراحی‌های CBDC با حفظ حریم خصوصی، می‌توانند مزایای امنیتی داشته باشند، زیرا خطرات و پیامدهای مضر احتمالی حملات سایبری مرتبط با استخراج داده‌ها و متمرکز کردن اطلاعات دقیق و قابل شناسایی شخصی را کاهش می‌دهند‌. بر این اساسCBDC ها می‌توانند حریم خصوصی مشابه پول نقد ارایه دهند، در حالی که به طور بالقوه، گزینه‌های نظارت منطقی را برای رگولاتور ارایه می‌دهند‌. سطح حریم خصوصیCBDC ، یک انتخاب قانونی و سیاسی است که طراحی ارز دیجیتال را فیلتر و نمایه امنیت سایبری آن را تعیین می‌کند‌.

اصل 3: تست، تست و تست بیشتر
 دولت‌ها باید اطمینان حاصل کنند که دسترسی کامل به آزمایش‌ها و ممیزی‌های امنیتی برای همه موارد اجرای CBDC را دارند و می‌توانند به‌طور مستقیم نظارت کنند‌. برای فعال کردن آزمایش‌ها و ممیزی‌های امنیتی گسترده، کنگره ایالات متحده باید اعتبارات را به عنوان بخشی از فرایند بودجه سال آینده در نظر بگیرد و یک پروژه آزمایشی را تخصیص دهد‌. پایگاه‌های کد منبع باز CBDC ممکن است به دلایل مختلف ارزشمند باشند، از جمله به این دلیل که امکان مشارکت بیشتر در فرایند تست امنیت را فراهم می‌کند؛ به خصوص زمانی که با برنامه‌های بلندمدت باگ‌بونت ترکیب شود‌. با این وجود، آنها همچنان به توجه، بودجه و کارکنان برای حفظ و نظارت بر پایه کد در درازمدت نیاز دارند‌.

اصل 4: اطمینان از مسوولیت‌پذیری  
چارچوب کلی حاکم بر‌CBDCها، نیاز به ایجاد قوانین و خط‌مشی‌های روشن، درباره مسوولیت‌پذیری خطاها، نقض‌ها و پیامدهای ناشی از آن (چه فنی و چه مالی)، در حوزه اعتبارسنجی در بلاک‌چین دارد‌.

اصل 5: ارتقای قابلیت همکاری
برای افزایش انعطاف‌پذیری سیستم‌های مالی موجود کشورها، سیاست‌گذاران باید قوانینی را تدوین کنند تا اطمینان حاصل شود که یک CBDC با زیرساخت‌های مالی مربوط به کشور قابل تعامل است‌. برای تقویت امنیت سیستم‌های CBDC، رهبری ایالات متحده برای ارتقای قابلیت همکاری جهانی بین CBDCها، از طریق هماهنگی بین‌المللی، ضروری است‌. درباره مقررات و تنظیم استاندارد از طریق مجامع مختلف مانند گروه هفت (G7)، G20، هیات ثبات مالی (FSB) و گروه ویژه اقدام مالی (FATF) می‌توان اقدام کرد‌.

اصل 6: وقتی قانون جدید، مناسب است، آن را از نظر فناوری،خنثی کنید‌
کنگره ایالات متحده می‌تواند به مطالعه و نظارت بر اعمال قوانین امنیت سایبری فدرال در یک CBDC بالقوه کمک کند‌. کنگره ممکن است استفاده از مشوق‌ها و مسوولیت‌پذیری برای توسعه CBDC را درنظر بگیرد یا الزامات امنیتی را با توانمندسازی یک فدرال تعیین کند‌. هر سیستم CBDC به نهادی نیاز دارد که پول ایجاد کند‌. ما این نقش را صادرکننده ارز می‌نامیم‌. در بیشتر موارد پیش‌بینی‌شده CBDC، این نقش توسط بانک مرکزی ایفا می‌شود‌. در یک ارز دیجیتال خصوصی، این نقش را یک شرکت خصوصی نیز می‌تواند ایفا کند‌. صادرکننده ارز باید مورد اعتماد همه شرکت‌کنندگان سیستم برای صحت خلق پول باشد؛ یعنی پولی که صادرکننده ایجاد می‌کند، برای همه دست‌اندرکاران، معتبر تلقی می‌شود‌. در این سیستم، لزوما نیازی نیست این نهاد برای همه جنبه‌های دیگر سیستم، مانند حریم خصوصی کاربر یا اعتبارسنجی پرداخت، مورداعتماد باشد‌.

• اعتبارسنجی پرداخت
سیستم‌های CBDC به نهادهایی نیاز دارند که سیستم را در حال اجرا نگه‌ دارند و زیرساخت‌های موردنیاز را برای سایر شرکت‌کنندگان فراهم کنند‌. یکی از این نقش‌های زیرساخت، اعتبارسنجی پرداخت است که پرداخت‌ها را تایید می‌کند و آنها را در ذخیره‌سازی داده‌ها، مانند پایگاه داده یا دفتر کل، ثبت می‌کند‌. نقش اعتبارسنجی پرداخت می‌تواند بین چندین گروه برای افزایش امنیت و عملکرد، توزیع شود‌. نقش اعتبارسنجی پرداخت را می‌توان برعهده بانک مرکزی قرار داد یا به‌عنوان جایگزین، آن را به افراد مرجع یا به بانک‌های تجاری دیگر واگذار کرد‌. برای تایید صحت پرداخت‌ها، باید به تاییدکننده پرداخت، اعتماد کرد اما این امر، لزوما برای سایر ویژگی‌ها، مانند ایجاد پول یا حریم خصوصی کاربر، صدق نمی‌کند‌. 

• ارایه‌دهنده حساب
یکی دیگر از نقش‌های زیرساختی در یک سیستم معمولی CBDC خرده‌فروشی، ارایه‌دهنده حسابی است که به کاربران اجازه می‌دهد ثبت‌نام و اعتبار پرداخت را دریافت کنند (به عنوان مثال، در قالب یک کیف پول دیجیتال) و سپس، پرداخت‌های CBDC را شروع کنند‌. در بیشتر استقرارهای CBDC خرده‌فروشی، صادرکننده حساب، باید هویت کاربر را قبل از ایجاد حساب، تایید کند‌. به احتمال زیاد، بانک‌های مرکزی نمی‌خواهند به طور مستقیم با کاربران ارتباط برقرار کنند بنابراین، این نقش توسط بانک‌های تجاری که مشتریان فعلی دارند، بهتر ایفا می‌شود‌.
روابط ارایه‌دهنده حساب، مانند یک بانک تجاری، برای تایید هویت کاربران، باید مورد اعتماد باشد‌. برای راه‌حل نگهداری، می‌توان به ارایه‌دهنده حساب در مدیریت اعتبار پرداخت کاربران نیز اعتماد کرد زیرا می‌تواند دارایی‌های پولی کاربران را کنترل کند‌. برای راه‌حل غیرحسابداری، ارایه‌دهنده حساب، هیچ دارایی پولی را از طرف کاربران، کنترل نمی‌کند‌. نقش ارایه‌دهنده حساب، ممکن است در استقرار CBDC عمده‌فروشی‌ که در آن کاربران نهایی، موسسات مالی مانند بانک‌های تجاری هستند، موردنیاز نباشد‌.

• فرستنده و گیرنده پرداخت
ما دو نوع کاربر نهایی را درنظر می‌گیریم: فرستنده و گیرنده پرداخت‌. در یک سیستم CBDC خرده‌فروشی، چنین کاربرانی می‌توانند افراد خصوصی، شرکت‌های تجاری یا سایر موجودیت‌های حقوقی باشند‌. چنین کاربرانی، معمولا پرداخت‌ها را از طریق یک دستگاه مشتری مانند تلفن هوشمند انجام می‌دهند که اعتبار پرداخت به‌دست‌آمده از ارایه‌دهنده حساب را در اختیار دارد‌. برای موارد استفاده خاص مانند بازدید گردشگران، احتمالا راه‌حل‌های دیگری به منظور دریافت اعتبار پرداخت، موردنیاز است‌. در یک CBDC عمده‌فروشی‌، فرستنده و گیرنده پرداخت، می‌توانند بانک‌های تجاری باشند که تسویه حساب بین‌بانکی را انجام می‌دهند‌. معمولا سایر شرکت‌کنندگان سیستم به فرستندگان و گیرندگان پرداخت، اعتماد ندارند‌. در مقابل، فرض بر این است که کاربران ممکن است خودسرانه یا حتی کاملا بدخواهانه رفتار کنند‌.

• رگولاتورها
نقش دیگری که در نظر می‌گیریم، رگولاتوری است‌. وظیفه رگولاتور این است که اطمینان حاصل کند تمام پرداخت‌ها در سیستم مطابق با الزاماتی مانند قوانین مبارزه با پولشویی است‌. به عنوان مثال، در ایالات متحده، دریافت‌کنندگان پرداخت نقدی به ارزش بیش از 10 هزار دلار باید جزییات پرداخت را به خدمات درآمد داخلی (IRS) گزارش کنند‌. 
در استقرارCBDC، تمام پرداخت‌هایی که از یک مقدار آستانه مشابه، فراتر می‌روند، می‌توانند به طور خودکار برای ممیزی به رگولاتور ارسال شوند‌. هرچند رگولاتور برای بررسی پرداخت‌های خاص و گزارش پرداخت‌های غیرمنطبق، مورد اعتماد است اما در یک سیستم CBDC که به خوبی طراحی شده، لزوما نیازی نیست تمام جزییات همه پرداخت‌ها برای رگولاتور، قابل مشاهده باشد‌. به عنوان مثال، دریافت 50 دلار به صورت کاملا ناشناس (یعنی به گونه‌ای که حتی رگولاتور نتواند جزییات پرداخت تراکنش را ببیند) باید امکان‌پذیر باشد‌.

• ارایه‌دهنده فناوری 
در یک CBDC خرده‌فروشی، برنامه پرداخت مورد نیاز می‌تواند توسط یک شرکت فناوری ارایه شود‌. به عنوان مثال، در قالب یک آزمایش درخصوص یوآن دیجیتال در چین، عملکرد پرداخت CBDC در برنامه‌های پرداخت محبوب تلفن هوشمند مانند Alipay از Ant Group و  WeChat Payاز Tencent ادغام شده است‌. علاوه بر ارایه برنامه پرداخت، ارایه‌دهنده فناوری ممکن است به کاربر در مدیریت اعتبار پرداخت کمک کند‌. کاربران نهایی (یعنی فرستندگان و گیرندگان پرداخت) باید به صحت پرداخت، کاربرد و نیز به طور بالقوه به مدیریت اعتبار پرداخت، اعتماد کنند‌. در یک CBDC  عمده‌فروشی، فرستندگان و گیرندگان پرداخت (بانک‌های تجاری)، می‌توانند فناوری موردنیاز (تسویه حساب) را از یک فروشنده نرم‌افزار خارجی دریافت کنند‌.

• نتیجه‌گیری 
این گزارش، خطرات جدید امنیت سایبری برای دولت‌ها، بخش خصوصی و مصرف‌کنندگان با معرفی CBDC (رمزارزهای دولتی) را تشریح و تبیین کرده است‌. تحقیقات نشان می‌دهد فضای طراحی برای CBDCها وسیع است و به سیاست‌گذاران و رگولاتورها، گزینه‌های زیادی برای انتخاب یک طرح فناوری ارایه می‌دهد تا هم از امنیت منطقی، برخوردار باشند و هم از مزایای منحصربه‌فرد که یک CBDC می‌تواند ارایه دهد، استفاده کنند‌.
طبق نظرسنجی‌های اخیر درباره استفاده از CBDC، حفظ حریم خصوصی، نگرانی شماره یک مصرف‌کنندگان است‌. بررسی‌ها نشان می‌دهد طراحی‌های CBDC با حفظ حریم خصوصی، نه تنها امکان‌پذیر است، بلکه دارای مزایای امنیتی ذاتی است و خطرات حملات سایبری را کاهش می‌دهد‌. در همان زمان، این گزارش، توضیح می‌دهد CBDCها می‌توانند نظارت را به رگولاتور ارایه دهند و در عین حال، حریم خصوصی کاربران را قوی کنند‌. 
به طور خلاصه، نگرانی‌های امنیت سایبری، به تنهایی، نیاز به توقف توسعه CBDC ندارد‌. این امر، برعهده سیاست‌گذاران است که در انتخاب‌های خود، طراحی بنیادی مناسب انجام دهند تا بانک‌های مرکزی و‌PSPها را قادر به توسعه CBDCهای ایمن کنند‌. تنظیم استاندارد این امر، در مورد همه دولت‌ها، صرف‌نظر از اینکه تصمیم به توسعه پیشرفت دیجیتالی داشته باشند یا خیر، صدق می‌کند‌. آغشته کردن فرایند ایجاد مقررات جهانی CBDC با ارزش‌های دموکراتیک، به نفع امنیت ملی ایالات متحده است‌. با بیش از 100 کشور که به طور فعال در حال تحقیق، توسعه یا اجرای آزمایشی CBDC هستند، زمان آن فرا رسیده تا اطمینان حاصل شود سیستم‌های داخلی و بین‌المللی برای اکوسیستم‌های ارز دیجیتال، به سرعت در حال تحول هستند‌. ایالات متحده می‌تواند و باید نقش پیشرو در شکل‌دهی استانداردهای آینده پول ایفا کند‌.(منبع:عصر ارتباط)