Metodologia ratingu bezpieczeństwa CrypS
Rating bezpieczeństwa CrypS powstał w oparciu o dane pozyskane z powszechnie dostępnych źródeł. Nie wszystkie z nich są weryfikowalne. Niekiedy nie da się także uwzględnić wszystkiego. Wynika to z popularnej wśród giełd niechęci do dzielenia się informacjami o stosowanych przez siebie zabezpieczeniach. Z drugiej strony, wiadomości na ich temat podawane przez same spółki, również nie muszą być wiarygodne.
W związku z tym stworzyliśmy rating, w którym punktujemy przede wszystkich czynniki, które można zweryfikować niezależnie. Należą do nich: miejsce z którego operuje giełda, regulacje, którym podlega, zewnętrzne audyty oraz różnego rodzaju ubezpieczenia środków. Te instytucjonalne zabezpieczenia sprawiają, że środki klientów są bezpieczne, nawet jeżeli platforma padnie ofiarą ataku. Jak pokazała krótka historia giełd kryptowalut, może to spotkać nawet najwyżej oceniane witryny. Z tego powodu pomimo szczególnej staranności jaką włożyliśmy w przygotowanie ratingu, zalecamy nie przechowywać bez potrzeby środków nawet na najwyżej ocenianych giełdach.
I. Ocena ratingowa i punktacja
Ocena bezpieczeństwa każdej giełdy mieści się w przedziale od 1 do 16. Pula ta została podzielona na 4 kategorie ratingowe, gdzie A stanowi najwyższą wartość, a D określa najmniej zaufane platformy.
Punkty i ocena w ratingu:
D – 1, 2, 3, 4
C – 5, 6, 7, 8
————————–8,5 (C/B)
B – 9, 10, 11, 12
A – 13, 14, 15, 16
A – osiągają jedynie giełdy o wysokim poziomie bezpieczeństwa, które działają z wiarygodnych jurysdykcji i są odpowiednio regulowane.
B – to ocena przypisana do giełd, które możemy określić jako bezpieczne.
C – jest ratingiem giełd, które wykazują pewne niepokojące sygnały mogące wpływać niekorzystnie na ich funkcjonowanie.
D – to najniższa kategoria giełd, które wykazują się widocznymi zaniedbaniami lub padły w ostatnim czasie ofiarą naruszeń bezpieczeństwa.
Wyjściowo (przed dokonaniem oceny) każda giełda znajduje się na neutralnym polu pomiędzy giełdami wyższej (A, B) i niższej kategorii (C, D). Startową pulą jest więc 8,5 punktu. Dodajemy do niej lub odejmujemy od niej noty za zabezpieczenia organizacyjne i techniczne (lub ich brak). Ujemne punkty przyznawane są także za ataki hakerskie, problemy techniczne bądź inne incydenty, które wymieniamy w IV rozdziale metodologii.
Bezpieczeństwo giełd kryptowalut oceniane jest na podstawie dwóch kategorii:
- zabezpieczeń technicznych – określających programistyczne/techniczne aspekty jej działania,
- zabezpieczeń organizacyjnych – do których zaliczamy środowisko regulacyjne, audyty, ubezpieczenia i nadzór.
Ich dokładny opis znajduje się w III rozdziale metodologii.
Uwaga odnośnie prywatności
Idea scentralizowanych giełd kryptowalut, których dotyczy rating, w dużej mierze wyklucza anonimowość użytkowania. Większość jurysdykcji, które można określić jako pewne środowisko regulacyjne, wymaga od spółek przestrzegania zasad KYC i AML. W rezultacie większość platform z ratingu wymaga od klientów “wylegitymowania się” przed rozpoczęciem handlu. Można oceniać to w różny sposób. W związku z tym uznaliśmy, że aspekt ten powinien zostać ujęty poza punktacją przy użyciu odpowiedniej ikonki.
Oprócz stosowania zasad AML i KYC, wyróżniliśmy również kilka innych czynników, o których informujemy wizualnie poza punktacją.
II. Pozapunktacyjne aspekty:
W ratingu giełd obok nazwy platformy, mogą pojawić się 4 ikonki spośród poniższych:
AML/KYC – kwadrat zamalowany do połowy na zielono oznacza częściowe KYC, ikonka jest całkowicie zielona jeśli giełda w pełni stosuje się do zasad KYC/AML, a przypadku braku procedur KYC ikonka jest biała.
Lupa – giełda współpracuje z organami podatkowymi i wydaje im dane na temat swoich użytkowników.
Atak hakerski lub poważna awaria w ostatnich 30 dniach.
Atak hakerski lub poważna awaria (ponad miesiąc temu).
Atak hakerski lub poważna awaria (ponad 3 miesiące temu)
Atak hakerski lub poważna awaria (ponad pół roku temu)
Brak ataków i awarii w ciągu ostatniego roku
Tarcza – giełda nigdy nie padła ofiarą ataku hakerskiego oraz nie miała poważnych incydentów.
Etapy związane z włamaniem na giełdę oraz awarią są opisane w rozdziale IV.
III. Kategorie oceny bezpieczeństwa
A. Zabezpieczenia techniczne
Kategoria określa programistyczne aspekty bezpieczeństwa platformy. Maksymalna dodatnia lub ujemna wartość, jaką może otrzymać w niej giełda to 3,5 punkta.
punkty | |
---|---|
0 | SLL/2 FA (jeśli brak – 1,5 pkt.) |
0,25 | cold wallety (jeśli brak – 1,5 pkt.) |
-0,25/0/+0,25/ | bezpieczeństwo konta – potwierdzanie akcji na giełdzie za pomocą maila oraz stosowanie przez nią captcha/ możliwość wygenerowania słabego hasła |
0/0,5/1/1,5 | bezpieczeństwo strony – oceniane na podstawie 9 kryteriów (opisane poniżej) – jeśli spełnia 5 i 6 na 9 + 0,5 pkt.; 7 i 8 na 9 + 1 pkt.; 9 na 9 + 1,5 pkt. |
0/0,25/0,5/0,75 | bezpieczeństwo domeny – określone poprzez 4 kryteria (opisane poniżej) – jeśli spełnia 2/ na 4 + 0,25 pkt.; 3 na 4 + 0,5 pkt.; 4 na 4 + 0,75 pkt. |
0/0,25/0,5/0,75 | dodatkowe zabezpieczenia – np. bot wykrywający podejrzane transakcje/modułowa architektura systemu/biała lista adresów IP – za 1 dodatek + 0,25 pkt.; za 2 + 0,5 pkt.; za 4 i więcej + 0,75 pkt. |
9 kryteriów bezpieczeństwa strony:
- obecność nagłówka HSTS (HTTP Strict-Transport-Security),
- ochrona przed atakami typu clickjacking,
- ochrona przed atakami typu drive-by downloads,
- ochrona przed atakami typu man-in-the-middle (MITM),
- ochrona przed atakami POODLE,
- ochrona przed atakami z wykorzystaniem Heartbleed,
- ochrona przed atakami typu ROBOT (Return Of Bleichenbacher’s Oracle Threat),
- obecność TLSv1.3,
- zgodność ze standardami PCI DSS, HIPAA, NIST.
4 kryteria bezpieczeństwa domeny:
- Rigistry Lock – chroni przed nieautoryzowanym przejęciem domeny, nakładając blokadę wymuszającą kontakt z rejestratorem domeny w przypadku chęci dokonania jakichkolwiek zmian (np. przekierowania jej na inną witrynę).
- Dedykowane konto do rejestracji domeny – świadome organizacje nie używają indywidualnych maili pracowników do rejestracji domeny. Chroni je to przed atakiem wymierzonym w konkretną osobę. Chroni również domenę w momencie, gdy dany pracownik opuści szeregi firmy.
- 6-miesięczny okres do wygaśnięcia domeny – taki czas pozwala na rozwiązanie nieprzewidzianych komplikacji z domeną podczas jej przedłużania.
- Stosowanie DNSSEC (Domain Name System Security Extensions)
B. Zabezpieczenia organizacyjne
Kategoria ta określa czy na bezpieczeństwo giełdy wpływają czynniki takie jak: jurysdykcja, ubezpieczenie funduszy, audyty, regulacje i kultura organizacyjna. Maksymalną oceną jaką może uzyskać w niej giełda są 4 punkty.
punkty | za co? |
---|---|
-1/0/+0,5/+1 | otoczenie prawne (czy regulacje, licencja, miejsce działania czynią giełdę pewnym miejscem, + 1 otrzymują tylko giełdy, które mają najlepszy status prawny). |
– 1/0 | czas na rynku: od 1 do 18 miesięcy od założenia -1 punkt (w tym czasie nowa giełda zdobywa pozycję i rozpoznawalność na rynku). Po 18 miesiącach na rynku, kara znika. Po 30 miesiącach, nieprzerwanego incydentami działania, giełda otrzymuje wizualny znacznik – tarczę. |
0/+0,5/+1 | fundusz gwarancyjny – ubezpieczenie środków (brak/ częściowe/ pełne). |
0/+0,5/+1 | audyty (brak/ nie poparte certyfikatami lub mało rozpoznawalne/ SOC2 lub inne renomowane audyty zewnętrzne). |
0/+0,25/+0,5 | procedury wewnętrzne – na punkt ten składa się kultura organizacyjna, czyli procedury dotyczące pracowników, ochrony biur i serwerów oraz dostęp do kluczy prywatnych, w tym stosowanie multisig. 0,5 punkta otrzymują giełdy, które przedstawiają się w tej kategorii z bardzo dobrej strony (kategoria jest trudna do zweryfikowania i dlatego nie jest wysoko punktowana). |
0/+0,5 | bug bounty + 0,5 punkta otrzymują giełdy, które stosują tego rodzaju programy, na jasno określonych zasadach. |
Premiowane jurysdykcje:
W podkategorii otoczenie prawne bierzemy pod uwagę nie tylko państwo, ale także status prawny, który posiada w nim dana giełda kryptowalut. Na 1 punkt mogą liczyć jedynie solidnie uregulowane platformy, które działają z pewnych jurysdykcji (np. Kraken). Oprócz kraju zarejestrowania spółki, bierzemy pod uwagę także miejsce, w którym znajduje się jej fizyczna infrastruktura. Obie lokalizacje nie muszą być i często nie są tożsame, a jak pokazał przykład OKEx, maltańska licencja nie ma znaczenia w sytuacji, gdy osoba posiadająca prywatny klucz do zimnych portfeli giełdy jest mieszkańcem Chin i zostaje w nich aresztowana.
Najbardziej pewne i przejrzyste przepisy zapewniają:
- Japonia,
- Singapur,
- Szwajcaria,
- Stany Zjednoczone (zależnie od stanu).
Inne premiowane jurysdykcje to:
- Australia,
- Estonia,
- Gibraltar,
- Hongkong,
- Liechtenstein,
- Korea Południowa,
- Malta,
- Polska (w przypadku giełd o statusie instytucji płatniczej).
- Wielka Brytania.
Przykłady niepewnych jurysdykcji:
- Brytyjskie Wyspy Dziewicze
- Kajmany,
- Seszele,
- St. Vincent i Grenadyny,
- Wyspy Marshalla.
IV. Incydenty i włamania
Każde naruszenie bezpieczeństwa, niepokojący incydent lub przerwa w działaniu giełdy skutkują ujemnymi punktami. Kary zmniejszają się wraz z upływem czasu od negatywnego wydarzenia. Jeżeli giełda padnie ofiarą wielu incydentów na przestrzeni krótkiego okresu czasu, wszystkie kary będą się sumować. W rezultacie mogą pojawić się sytuacje, gdy niektóre platformy osiągną ujemną punktację.
Przykłady kar za negatywne incydenty:
- atak hakerski: – 8 punkty,
- wyciek danych klientów: od -2 do -8 punktów w zależności od skali, gdzie -1 oznacza wyciek dotyczący niewielkiej części klientów (do 5%) i niezagrażających im danych, a -8 poważnego wycieku obejmującego zdjęcia dokumentów tożsamości,
- przerwa w działaniu platformy: dłuższa niż doba -2 punkty, dłuższa niż trzy dni -4 punkty, powyżej tygodnia -8 punktów,
- utrata licencji z winy giełdy: od -2 do -6 punktów w zależności od okoliczności lub jurysdykcji,
- kłopoty prawne giełdy: od -2 do -6 punktów w zależności od wagi zarzutów oraz jurysdykcji (w niektórych przypadkach autorytarnych państw, kara może nie być przyznana w ogóle, jeżeli centrum operacyjne giełdy znajduje się poza zasięgiem jego urzędników; przykładem zakazanie platformy Binance w Rosji).
Etapy wygasania negatywnej punktacji
Jeśli giełda straciła w wyniku negatywnego zdarzenia 8 punktów, jej kara ulega wyzerowaniu po roku od incydentu. W przypadku mniej znaczących wydarzeń wygasa ona szybciej, według odpowiedniego wzoru:
- 0-30 dni od incydentu – pełna kara,
- 31-90 dni od incydentu – wygasają 2 ujemne punkty,
- 91-150 dni od incydentu – wygasają kolejne 2 ujemne punkty
- 151-356 dni od incydentu – wygasają kolejne 2 ujemne punkty
- 365+ dni od incydentu – wygasają kolejne 2 ujemne punkty
W ten sposób po roku od zdarzenia znikają wszystkie ujemne punkty.
Jeżeli skutki incydentu utrzymują się przez dłuższy czas, klienci nie odzyskali środków lub zdarzenie było bardzo poważne – giełda może otrzymać 1 ujemny punkt na stałe.
W wyjątkowych przypadkach, gdy skutki incydentu zostały rozwiązane nadzwyczaj sprawnie, a klienci nie ponieśli strat, kara giełdy może zostać zmniejszona o 2 punkty.
Na zakończenie
Nasz rating ma na celu zarysować ocenę bezpieczeństwa giełd kryptowalut, jednak nie da się w nim uwzględnić wszystkich czynników i zagrożeń. Nie powinien stanowić zatem rekomendacji ani być traktowany jako porada, którą platformę wybrać.
Jeżeli masz sugestie lub wskazówki, które pomogą nam poprawić rating, zapraszamy do kontaktu na adres mailowy redakcja@cryps.pl. Rating jest otwarty na modyfikacje i zamierzamy rozwijać go oraz ulepszać w oparciu o wskazówki od innych uczestników rynku kryptowalut.
Gorąco zachęcamy także do oceny znanych Wam giełd, które znajdują się w naszym ratingu. Poziom bezpieczeństwa, wygoda użytkowania i poziom oferty to 3 odrębne kwestie. Ich połączenie odróżnia giełdy warte polecenia od tych, na których odradzilibyście założenie konta najgorszemu wrogowi. Ocena tego, do której kategorii należą poszczególne platformy, leży zaś wyłącznie po stronie osób odwiedzających CrypS.pl.