AUDITING THE BLOCKCHAIN
Mengacu pada IBM, blockchain merupakan jaringan berupa buku besar bersama yang bersifat abadi dan mampu memfasilitasi proses pencatatan serta pelacakan, baik aset ataupu transaksi dalam jaringan bisnis. Melalui jaringan blockchain, detail dari nilai aset bisa dilacak, serta mengurangi resiko dan biaya yang terlibat. Jaringan blockchain juga mampu membantu proses pertukaran informasi secara lebih cepat da akurat. Lebih jauh, jaringan blokchain juga hanya bisa diakses oleh anggota jaringan yang memiliki izin atas akses jaringan. Hal ini membuat proses bisnis berjalan secara lebih efisien.
Meski demikian, implementasi blockchain dalam bisnis juga memiliki beberapa isu yang dianggap sebagai resiko. Menurut (KPMG, 2018), beberapa resiko dari implementasi jaringan blockchain mencakup:
- Kesulitan dalam melakukan pelacakan dan pengimplementasian mekanisme privasi terkait dengan penghapusan data pribadi
- Kesalahan dalam memberikan akses atas izin jaringan, konsensus, serta mekanisme proof of stake yang mampu mengarah pada isu kepercayaan atas jaringan
- Isu yang muncul seiring dengan kurangnya mekanisme pengelolaan terkait dengan penalti atas transaksi dan kebijakan dari ketidakpatuhan transaksi
- Perhatian terhadap informasi personal dan konfidensial yang tidak terlindungi termuat dalam transaksi global yang mampu mengarah pada fokus dari regulasi
- Tantangan dari hubungan protokol antarjaringan blockchain yang berbeda serta format data yang mampu menciptakan halangan dalam mpengimplementasian solusi
- Tantangan dalam melakukan pengurusan kunci kriptografik secara aman ataupun enkripsi yang lemah yang mampu memengaruhi kehilangan permanen bagi keseluruhan data
Dalam melakukan audit terhadap jaringan blockchain, (KPMG, 2018) memiliki 7 modul kerangka kerja yang terdiri atas:
- Key and ownership management memiliki resiko yang tersebar pada area:
- Kemungkinan kehilangan kunci kriptografik secara tidak disengaja sebagai dampak dari ketidakmampuan untuk melakukan klaim atas kepemilikan aset
- Ketidakmampuan untuk mengubah kunci kriptografi pribadi yang tersebar dengan partisispan lain untuk melakukan legitimasi atas kebutuhan bisnis
- Penyimpanan yang tidak aman atau tidak terenkripsi atau transmisi serta penggunaan dari kunci kriptografi pribadi.
Untuk mengatasi ketiga resiko tersebut, maka diperlukan audit pada area penghasilan serta penarikan kunci, pengurusan serta pengelolaan atas kunci, memasuki dan melakukan audit atas penggunaan kunci, infrastruktur manajemen kunci, kemampuan pelacakan serta kontrol versi kunci, dan juga manajemen algoritma atas hash.
- Interoperability and integration, yang terdiri atas resiko pada area:
- Misinterpretasi atau penyalahgunaan data yang dikirimkan oleh platform blockchain yang berbeda
- Masalah keamanan pada Application Program Interface (API) yang digunakan untuk melakukan integrasi atas platform blockchain melalui sistem perusahaan
- Kualitas data dan isu terkait sistem lama ketika berhadapan dengan sistem lama.
Adapun area audit yang perlu dijalankan pada area resiko tersebut mencakup reviu atas dokumentasi atas API, integrasi serta pemetaan data, pengecekan validasi data dan aturan, platform dan protokol perantara, penghubung interoperabilitas dan pengaya, serta keamanan interface dan reviu API.
- Consensus mechanism, yang memiliki resiko terhadap:
- Perubahan yang tidak terkontrol, seperti hash mayoritas yang terserang atau terbajak oleh pihak yang tidak bertanggungjawab
- Inkonsistensi terkait dengan isu forking yang menciptakan dua versi dari grup dan buku besar
- Jejak waktu yang tidak akurat ketika melakukan penghubungan antara node untuk mengubah perhitungan waktu jaringan dalam sebuah node
Untuk menangani isu ini, maka diperlukan pengecekan atas desain konsensus protokol, prosedur perubahan kontrol atas konsensus, reviu atas peraturan konsensus, log transaksi dan jejak audit, pengesampingan penanganan konsensus, serta pengawasan atas pembajakan konsensus.
- Heterogeneous regulatory compliance, terdiri atas resiko terkait dengan:
- Data-data penting yang terpublikasi di transaksi global
- Perbedaan kewajiban atas kesesuaian dan peraturan untuk alur data lintas batas
- Ketidakmampuan untuk menyingkirkan atau mengubah data konfidensial atau data sensitif yang memengaruhi prinsip “right to be forgotten”
Untuk menangani hal ini, maka diperlukan audit atas hukum yang berlaku secara spesifik di suatu negara, kesesuaian terhadap peraturan industri, regulasi atas privasi lintas batas, standar kesesuaian sebuah platform, sensitivitas data dalam blok transaksi, serta standar klasifikasi data.
- Access and permissions management, terdiri atas resiko yang terkait dengan:
- Data perusahaan yang disimpan pada blockchain mampu ditelusuri tanpa otorisasi yang eksplisit
- Eskalasi atas keuntungan melalui permasalahan deputi yang tidak menentu untuk menggunakan wewenang
- Larangan miskonfigurasi dan deserialisasi yang tidak aman oleh pengguna terotorisasi dalam blockchain
Untuk menangani hal ini, maka perlu dilakukan audit atas izin dari grup serta pengguna, peran dan tingkatan atas akses, kontrol akses terdiskresi, prosedur atas pendaftaran dan pemutusan, serta pemisahan tugas dan konflik atas izin.
- Infrastructure and application management, terdiri atas resiko yang terkait dengan:
- Pengembangan yang inkonsisten dan praktik coding yang tidak aman untuk platform dan aplikasi blokchain
- Kurangnya proses atas Software Development Life cycle (SDL), serta pengetesan dan dokumentasi yang memadai.
Hal ini bisa ditangani dengan melakukan audit atas siklus hidup dari perkembangan software, dokumentasi atas platform dan aplikasi, praktik pengembangan serta prinsip keamanan coding, serta pelacakan atas bug dan perbaikan pada aplikasi, serta pengetesan atas cybersecurity.
- Network and nodes governance, memiliki resiko atas:
- Kurangnya badan pengelola untuk menyelesaikan masalah pada transaksi, identitas, ataupun aset
- Sentralisasi jaringan, kolusi, spam, serta kontrol yang tidak terotorisasi atas operasi jaringan
- Pertanggungjawaban atas fungsi, perlindungan informasi, serta validasi transaksi atas blockchain yang tidak jelas.
Untuk penanganan terkait hal ini, maka diperlukan audit terkait dengan resolusi atas permasalahan dan pengelolaan, pengecekan atas kesesuaian jaringan dan reputasi node, analisis atas titik kegagalan, analisis atas spam dan pengawasan jaringan, serta kurangnya mekanisme pengawasan atas kebocoran.
Source:
- KPMG. (2018). Auditing Blockchain Solutions. October, 1–8.
Images Sources: Google Images