NFT (ang. non-fungible token), czyli niewymienny token, tak jak inne rozwiązania cyfrowe narażony jest na cyberzagrożenia. Problemy w zakresie cyberbezpieczeństwa, jakich może doświadczać NFT, są podobne do tych, które dotykają rozwiązań opartych na szeroko pojętej technologii blockchain, gdyż jest ona podstawą funkcjonowania NFT. Oznacza to, że token jest tylko tak (cyber)bezpieczny, jak bezpieczna jest technologia wykorzystana do jego stworzenia.

Choć wykorzystanie rozwiązań NFT i ich powszechność są jeszcze mocno ograniczone z uwagi na to, że jest to względnie nowa technologia, już teraz możemy zauważyć, jakie cyberzagrożenia są z tym związane.

Przede wszystkim bezpieczeństwo NFT będzie zależeć m.in. od technologii, na podstawie której NFT są tworzone. Jednym z ważniejszych czynników bezpieczeństwa jest to, jak bardzo system blockchain, na podstawie którego tworzone są NFT, jest rozwiązaniem zdecentralizowanym. Ryzyko przejęcia rozwiązania przez osoby nieuprawnione jest tym większe, im bardziej zcentralizowany jest system blockchain. Choć stoi to w sprzeczności z samą ideą technologii rozproszonego rejestru (ang. distributed ledger technology), jaką jest blockchain, która ma zapewniać bezpieczeństwo poprzez zaangażowanie wielu podmiotów w jej funkcjonowanie i dzięki temu minimalizować możliwość przejęcia kontroli przez osoby nieuprawnione, rozwiązania są tworzone przez jeden podmiot lub ograniczoną liczbę podmiotów. Im mniejsza liczba podmiotów zarządzająca projektami tworzącymi NFT, tym łatwiejsze może być przejęcie kontroli nad całym stworzonym w ramach projektu zasobem tokenów, co w konsekwencji będzie prowadzić nawet do ich całkowitej utraty.

Innym poważnym ryzykiem mogącym dotknąć wszystkich korzystających z danego rozwiązania tworzącego NFT jest istnienie podatności, poprzez które osoby nieuprawnione mogą dokonać przejęcia tokenów bądź zagrozić ich integralności lub autentyczności. Najlepszym przykładem może być błąd w kodzie źródłowym platformy Ethereum, który spowodował, że w czerwcu 2016 r. doszło do kradzieży tokenów o wartości ok. 50 milionów dolarów[1]. Ma to znaczenie przede wszystkich w odniesieniu do dopiero powstających platform, które z uwagi na swój start-upowy charakter mogą bagatelizować kwestię bezpieczeństwa, co w konsekwencji może narażać użytkowników na ryzyko utraty środków zainwestowanych przez nich w NFT.

Dodatkowo należy zwrócić uwagę na znane już obecnie szerokie spektrum cyberzagrożeń dotyczących NFT mogących dotykać poszczególnych użytkowników, które będą coraz powszechniejsze. Wykorzystanie NFT będzie prowadziło do pojawiania się nowego rodzaju ryzyk dla ochrony bezpieczeństwa tokenów. Zagrożenia, które już teraz można uznać za znaczące, to m.in.:

  • sprzedaż fałszywych NFT, np. kopii dzieł sztuki nieopatrzonych tokenem lub opatrzonych podrobionym tokenem;
  • przejmowanie kont użytkowników na marketplace’ach służących do obrotu NFT mogące prowadzić do kradzieży zgromadzonych na tych kontach środków pieniężnych oraz nieuprawnionego obrotu NFT posiadanych przez użytkowników;
  • phishing skutkujący nieautoryzowanym dostępem do kont bankowych użytkowników.

Mimo że technologia blockchain zapewnia większe bezpieczeństwo technologiczne w porównaniu z „klasycznymi” rozwiązaniami IT, bezpieczeństwa NFT nie należy ograniczać jedynie do oceny odporności technologicznej NFT na potencjalne zagrożenia. Do działań na rzecz cyberbezpieczeństwa NFT należy zaliczyć szereg innych czynników, takich jak kwestie organizacyjne związane z korzystaniem z NFT, opracowanie odpowiednich procesów w organizacji mającej rozwiązania generujące NFT czy chociażby właściwa polityka informacyjna użytkowników NFT na temat cyberzagrożeń związanych z generowaniem tokenów czy obrotem produktów zawierających NFT. Wyłącznie wielopłaszczyznowe działania w zakresie cyberbezpieczeństwa pozwolą zminimalizować ryzyko wystąpienia incydentów, które mogą zagrozić bezpieczeństwu tokenów oraz ich twórców i kolejnych nabywców.

NFT a regulacje prawne dotyczące cyberbezpieczeństwa

Na (cyber)bezpieczeństwo NFT należy zwrócić uwagę nie tylko w kontekście technicznego czy technologicznego bezpieczeństwa, jakie gwarantują rozwiązania umożliwiające tworzenie NFT. Może mieć to również wymiar prawny z uwagi na rozwijającą się regulację cyberbezpieczeństwa na poziomie europejskim i krajowym.

Obecnie kształtowana regulacja dotycząca cyberbezpieczeństwa – zarówno ta istniejąca (w postaci dyrektywy NIS[2] i ustawy o krajowym systemie cyberbezpieczeństwa[3]), jak i ta planowana (w postaci dyrektywy NIS2[4], rozporządzenia DORA[5] i projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa) – ma na celu ochronę najważniejszych obszarów gospodarki narodowej przed zagrożeniami cyberbezpieczeństwa i zapewnienie ich niezakłóconego funkcjonowania. Przywołane regulacje będą miały zastosowanie, jeśli podmioty będące operatorami usług kluczowych, dostawcami usług cyfrowych czy podmioty publiczne zobowiązane do stosowania tych regulacji będą wykorzystywały technologię NFT – odpowiednio – przy świadczeniu usługi kluczowej, usługi cyfrowej czy przy realizacji zadań publicznych.

W odniesieniu do operatorów usług kluczowych dyrektywa NIS nakazuje państwom członkowskim określić na poziomie krajowym „odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania ryzykami, na jakie narażone są wykorzystywane przez nich sieci i systemy informatyczne”[6]. Podobne obowiązki zostały określone w stosunku do operatorów usług cyfrowych[7].

Oznacza to, że zarówno operatorzy usług kluczowych, jak i dostawcy usług cyfrowych – o ile używane przez nich w prowadzonej działalności technologie NFT lub systemy, dzięki którym te podmioty mogą korzystać z tokenów, będą wykorzystywane do realizacji świadczonych przez nich, odpowiednio, usług kluczowych lub usług cyfrowych – powinny m.in. być poddawane analizie pod względem ryzyka wystąpienia incydentu cyberbezpieczeństwa i sposobu zarządzania tym ryzykiem, a także podejmować środki techniczne i organizacyjne (takie jak zarządzanie ciągłością działania, monitorowanie systemów czy ich testowanie), które umożliwiają bezpieczne i nieprzerwane korzystanie z tych rozwiązań oraz będą minimalizować wpływ występujących incydentów na świadczone usługi kluczowe lub usługi cyfrowe.

Z uwagi na to, że technologia NFT jest relatywnie nowa, jej obecne wykorzystanie przez operatorów usług kluczowych i dostawców usług cyfrowych na potrzeby świadczonych przez nich usług – o ile w ogóle ma miejsce – będzie się odbywać w bardzo ograniczonej skali. Niemniej już teraz wskazywane są kluczowe gałęzie gospodarki (np. banking), na które NFT może mieć duży wpływ[8].

Dodatkowo postępujący rozwój prawa w zakresie cyberbezpieczeństwa, skutkujący objęciem tą regulacją nowych obszarów gospodarki wykorzystujących technologię NFT częściej niż inne branże, lub ukształtowanie się określonej praktyki w wyniku stosowania instrumentów soft law i norm, a także pojawienie się nowych usług wykorzystujących NFT mogą to tym bardziej zmienić. Nie można wykluczyć, że zobowiązane podmioty korzystające z tych usług będą musiały dokonywać oceny bezpieczeństwa konkretnych rozwiązań technologii NFT, w szczególności poprzez przeprowadzanie analizy ryzyk, jakie mogą wynikać z używania tych rozwiązań, oraz podejmowanie działań, które pozwolą na zminimalizowanie skutków korzystania z technologii NFT.

[1] What Was The DAO?, Gemini, 17.03.2022, https://www.gemini.com/cryptopedia/the-dao-hack-makerdao#section-the-dao-hack-remedy-forks-ethereum (dostęp: 31.08.2022).

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE L z 2016 r., Nr 914, str. 1).

[3] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2020 r., poz. 1369).

[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii uchylająca Dyrektywę (UE) 2016/1148 (projekt).

[5] Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenie (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 (projekt).

[6] Art. 14 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa.

[7] Art. 16 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa.

[8] B. Legters, Will The Growth In NFTs Change The Trajectory Of The Banking And Payments Industry?, Forbes, 23.06.2021, https://www.forbes.com/sites/boblegters/2021/06/23/will-the-growth-in-nfts-change-the-trajectory-of-the-banking-and-payments-industry/?sh=1771e0a554ad (dostęp: 31.08.2022).