وحتى وقت قريب، لم يُبذل سوى جهد يسير بشكل علني في عالم الأمني السيبراني والبنوك المركزية لتكوين فهم حقيقي للمخاطر التي تهدد الأمن السيبراني والخصوصية والمصاحبة لإصدار البنوك المركزية لعملات رقمية. ونظر عدد قليل منها فيما إذا كانت تصاميم العملة الرقمية التي يصدرها البنك المركزي يمكنها تخفيف المخاطر أو ربما تحسين الأمن السيبراني في النظام المالي.
وبحثنا الجديد، الذي نُشِر في تقرير صدر مؤخرا عن المجلس الأطلسي بعنوان "المفتاح المفقود – تحدي الأمن السيبراني والعملات الرقمية الصادرة عن البنوك المركزية (“Missing Key–The Challenge of Cybersecurity and CBDCs”)، يحلل مخاطر الأمن السيبراني الجديدة التي قد تشكلها العملات الرقمية التي تصدرها البنوك المركزية على النظم المالية وتجد من الأسباب ما يبرر وضع خيارات كثيرة أمام صناع السياسات لإطلاق هذه العملة الرقمية بأمان. وهناك الكثير من الأشكال المتنوعة لتصميم هذه العملة، ما بين قواعد بيانات مركزية وحتى دفاتر الحسابات الرقمية الموزعة والنظم القائمة على رموز. ويتعين النظر في كل نظام على حدة قبل استخلاص نتائج عن مخاطر الأمن السيبراني والخصوصية. ويتعين كذلك المقارنة بين هذه التصاميم والنظم المالية الحالية – تلك التي تقض مضجع باول بصفة مستمرة – لتحديد ما إذا كانت التكنولوجيا الجديدة يمكن أن توفر خيارات أكثر أمانا.
إذن ماهي بعض المخاطر الرئيسية الجديدة التي تهدد الأمن السيبراني والتي يمكن أن تنشأ من إصدار بنك مركزي لعملة رقمية؟ والأهم من ذلك، ما الذي يمكن عمله لتخفيف هذه المخاطر؟
مركزية جمع البيانات
كثير من الأشكال المتنوعة المقترحة لتصميم عملات البنوك المركزية الرقمية (وخاصة العملة لمدفوعات التجزئة) ينطوي على جمع بيانات المعاملات على أساس مركزي، وهو ما يفرض مخاطر كبيرة على الخصوصية والمسألة الأمنية. فمن منظور الخصوصية، يمكن أن تُستخدم هذه البيانات لمراقبة نشاط المدفوعات التي يؤديها الأفراد. وتراكم بيانات شديدة الحساسية في مكان واحد يزيد كذلك من المخاطر الأمنية بجعل المردود الذي يعود على الدخلاء المحتملين أعلى بقدر أكبر بكثير.
ومع هذا، يمكن تخفيف المخاطر المقترنة بالجمع المركزي للبيانات إما بعدم جمعها على الإطلاق أو باختيار نظام للتحقق منها بحيث لا يرى كل عنصر فيه إلا مقدار المعلومات اللازمة لأداء وظيفته. ويمكن دعم هذا المنهج الأخير بأدوات تشفيرية مثل الأدلة صفرية المعرفة (zero-knowledge proofs)، والتي تصادق على المعلومات الخاصة دون الكشف عنها ولا تسمح بالتلاعب بها، أو أساليب التهشير التشفيري (cryptographic hashing techniques). فعلى سبيل المثال، مشروع هاميلتون (وهو عمل مشترك بين الاحتياطي الفيدرالي في بوسطن ومعهد ماساتشوسيتس للتكنولوجيا لاستكشاف إمكانية إصدار عملة رقمية من البنك المركزي في الولايات المتحدة) صمم نظاما يقسم عملية التحقق من المعاملة إلى مراحل، تقتضي كل مرحلة منها الوصول إلى أجزاء مختلفة من بيانات المعاملة.
ويمكن زيادة التوسع في التقنيات التشفيرية هذه لبناء نظم تتحقق من صحة المعاملة من مجرد الاطلاع المُشَفَّر (encrypted access) على تفاصيل المعاملة مثل المُرسِل أو المتلقي أو مقدارها. وبينما تبدو هذه الأدوات جيدة إلى حد لا يكاد يصدقه عقل، فقد خضعت لاختبارات مكثفة من خلال عملات مُشَفَّرة تحافظ على الخصوصية مثل " Zcash" وتقوم على تقدم كبير حققه مجتمع التشفير. وخلاصة القول إن التكنولوجيا تُمَكِّن البنوك المركزية من ضمان تصميم أي عملة يصدرها بنك مركزي بحيث تنطوي ضمنا على خصائص الأمن السيبراني وحماية الخصوصية على حد سواء.
الشفافية مقابل الخصوصية
من المخاوف الشائعة بشأن التصاميم التي تحافظ على الخصوصية (بما فيها تلك التي تستخدم تقنيات تشفير متخصصة) انخفاض مستوى الشفافية المتاحة للأجهزة التنظيمية. فيقتضي عمل الأجهزة التنظيمية عموما تكوين رؤى كافية لتحديد المعاملات المشتبه بها، مما يمكنها من الكشف عن جرائم غسل الأموال وتمويل الإرهاب وغيرها من الأنشطة غير المشروعة.
ولكن حتى هذه المسألة ليست قرارا اختياريا. فيمكن استخدام التقنيات التشفيرية في تصميم عملة رقمية يصدرها بنك مركزي تتيح الخصوصية على نحو مشابه للمعاملات النقدية حتى مستوى محدد (10 آلاف دولار مثلا) بينما تسمح للسلطات الحكومية بممارسة قدر كافٍ من الإشراف التنظيمي. ولا يختلف هذا المستوى الحدي عن النظام الحالي المتبع في الولايات المتحدة، والذي يسمح بخفض حجم التقارير عن المعاملات التي يقل حجمها عن 10 آلاف دولار. والحقيقة هي أن أي نظام جديد لعملة رقمية يصدرها بنك مركزي لا يتعين عليه أن يعيد اختراع بروتوكولات أمنية وإنما يمكنه بدلا من ذلك تحسين البروتوكولات الموجودة.