降低 Web 3.0 领域项目中内部威胁风险的一个重要且有效的手段就是:彻底审查新加入的团队成员。然而许多人认为这过于复杂,因此直接跳过了这一重要步骤。
在本文中,CertiK 的专业调查员将为大家分享一些常见的安全检查案例,并就用户如何自己进行背景调查给予几项最简单实用的建议(注意:根据各国国情不同,审查程序也应具备相应区别)。
根据哈佛大学关于《如何造就一个成功的创业团队》报告表明,招募合适的人才或是创业成功与否的关键和决定因素。
数据显示, 60% 的创业团队失败源于团队问题,而团队在 Web 3.0 领域的项目中起着更为至关重要的作用。
此外,它对项目的完整性和安全性也至关重要。
管理层们往往会忽视这一事实:
安全问题不仅仅来自于代码漏洞或外部攻击者,还可能来自于内部威胁。一个内部人员利用自己的权限和对内部结构的了解从而攫取利益,进一步伤害到整个企业。
与联合创始人或开发人员一起创建一个项目,倘若没有正式审查程序,反而会增加内部威胁的风险从而导致最终的灾难性后果——比如团队成员非法修改代码、滥用信息或窃取项目资金,造成不可挽回的损失和丑闻。
例如,Wonderland 的首席财务官“Sifu”隐瞒了他曾用「Omar Dhanani」一名进行金融犯罪并被定罪的事实,并且他之前还曾使用 Michael Patryn 的名字与他人联合创立了 QuadrigaCX 骗局并造成了用户 1.33 亿美元的损失;Blockparty 的前首席技术官 Rikesh Thapa 因其从项目中窃取了相当于 100 万美元的资金而被起诉……诸如此类的案例数不胜数。
拥有一个具备较高技术背景且资金充足的合作伙伴无疑令很多人难以拒绝,但如果因为疏忽或缺乏背景调查而雇佣到了一个有犯罪前科的人员,那项目的结局很有可能是毁灭,且会给用户和投资者造成无法挽回的损失。
原文大致翻译如下:
“Rikesh Thapa 本应对项目的庞大资金负起责任,但他却辜负了公司的信任。得益于本办公室及我们执法伙伴的专业和努力,尽管 Thapa 不惜一切代价掩盖他的欺诈行为,但他现在不得不为自己的罪行负责了。”
– 美国联邦检察官 Damian Williams
对即将加入项目团队的人员进行彻底的背景调查百利而无一害。
首先,大部分不法人员选择目标时,都会盯上那些因各种原因无法进行这种核实的微小企业。因此核实候选人的身份、历史和背景是对心怀不轨人员的一种威慑。就如同家门口的摄像头,即便不开启,也会对小偷有着震慑作用。
其次,在雇用某位成员之前确定其具备的潜在风险,也提供了一个可以撤销高风险人员资格的机会。
第三,如果你决定继续聘用高风险人员,那么背景调查可以帮助你采取措施从而降低风险:比如限制该人员参与项目的某些方面,或根据他们的风险水平限制访问级别。这与解决特权访问管理 (PAM)的风险类似。
一旦被审查人员的身份和个人资料得到正式核实,他们可能会更加具有责任感,从而进一步减轻风险。
最后,如果内部人员在采取了所有的风险缓解措施后仍然发生了犯罪事件,拥有背景调查记录将有效协助未来对犯罪者的调查和起诉。
在接下来的内容中,我们的前执法部门刑事调查员将逐步介绍如何正确验证合作伙伴或相关人员。
不要轻信传统的“背景调查”——这意味着,如果谁说他做了“背景调查”、“犯罪记录调查”、“审查”或“筛选”,可能仅仅只是提供了名字或身份证,随后由检察员在犯罪和信用记录数据库中将其名字检索了一遍而已。
这种所谓的“审查”又快又便宜,查询费仅 2 美元一次。
虽然这种背景调查也涉及了很多行话,听起来「不明觉厉」,但这其实没有起到任何实质上的作用。
尤其是对恶意行为者来说,想要绕过数据库查询简直轻而易举——比如使用化名、假名、假身份证、别人的身份证,甚至请演员来替代其进行背景调查。
另外,即便是恶意行为者提供了真实的身份证件,犯罪记录数据库的记录范围也是有限的,且不一定是什么时候更新的旧数据。
许多欺诈者使用化名犯罪,还有许多欺诈者从未被起诉,因此显然无法在犯罪和信用记录数据库将其检索而出。再者,即便是没有犯罪记录,也不一定能预测此人未来的行为。因此数据库查询的有效性十分有限,它只是真正的背景调查过程中的一个步骤而非是全部内容。
在背景调查时,我们需要建立一个清晰、透明、公平的验证过程。
清晰且严格的安全要求和背景验证过程有着比起本身更多的意义——免责声明不仅是公平和合规的必要手段,同时还可以阻止恶意行为者,且向诚信行为者证明项目具备足够的安全标准。
这种做法本身就可以构建一个有效的安全环境,为企业建立深厚的安全文化。
我们也必须保持对所有人一视同仁的调查过程:公平、非歧视且尊重个人隐私。
评估和决策必须保证仅围绕相关调查结果,保持绝对客观并记录在案,除此之外,也要为被审查人员提供一个可上诉的渠道和章程。
如果背景调查和风险评估的结果显示该人员不适宜被雇佣,那么也要通过人力资源相关专业人士确保该程序符合当地的劳动法。
要求被审查人员提供的信息和文件:
① 签署一份背景调查的免责声明和弃权书
② 提交简历、身份证、学历证明复印件
③ 提交包含其个人信息(姓名、地址、联系方式等)的安全调查表
进行一次安全角度的面试
线下面谈将令被审查人员难以绕过验证过程,也更容易发现问题。
面试官可以要求被审查人员描述他们的履历,要求提供准确的、可核实的参考资料,并对缺失或不清楚的信息给予解释。
在这一过程中,我们可以通过被审查人员的反应来识别风险。
较为典型的风险信号有例如对某特定的问题或话题言辞含糊不清、前后说辞不一、讲述虚假的信息等。
这样的面谈并非是像审判犯人那样或是为了指责或强迫对方说出什么真相,而仅是为了收集信息和进行风险评估。
因此在面谈中,所有非常态的反应和回答信息均会被记录并进行核实和风险评估。
比较及验证
这一步不是要寻找新的信息,而是要核实被审查人员所提供的信息是否能被证实。
我们不必核实被审查人员生活的点点滴滴,但是核实陈述内容和参考资料还是必要的。
这里有一点需要说明:调查员核实的是信息样本,而不是被审查人员。
通常情况下,调查员会仔细核实和印证被审查人员提供的文件和陈述,包括:全名、别名、出生地和日期、地址、目前的动向、教育、就业事件和职位、经手的项目、相关认证、职业路线图,以及所有可以有效确认或证实的相关主张。
这一验证步骤对流程的质量至关重要,是简单检查和真正有效调查之间的核心区别。
寻找差异
这一步不是寻找或核实信息,而是通过测量差异的数量来评估数据集的一致性。
这里的差异特指两个信息之间无法解释的差异。它们是检测欺骗性和欺诈性行为以及缺失或隐藏信息的一种强大又非常有效的方法。
俗话说“一个谎言要用无数个谎言来圆”,当被审查人员隐瞒某些事情时,就会在不同的背景信息之间产生多个差异。
差异可以是两个说法之间的差异,也可以是两份文件之间的差异,还可以是一个私下讲述和公开信息之间的差异等。
例如,一个人说他非常擅长某种编码,但却无法提供关于该领域以往经验的准确信息,这就是一个非常典型的高风险信号——虚假履历和可疑的履历隐瞒。
要求提供补充信息
如果调查员发现被审查人员讲述的某个信息有可疑迹象,那么评估该信息的一个方式就是要求被审查人员提供补充信息。
如果无法提供,那么也许对于该信息的可疑猜测是正确的,但如果被审查人员可以提供补充信息,那么就意味着该信息的可疑风险部分降低了。
进行风险评估
对于最终的风险评估,需要权衡已识别的危险信号、风险信号和差异列表。
如果在测试过程中,出现了更多的可疑迹象,则该评估方向的权重增加,如果出现减轻风险的状况(如合理的解释、保证) ,则该项的权重降低。
在远程合作和伙伴关系的背景下,可以在风险评估中考虑申请人的所在国家。调查员可以通过例如 CPI 得分来核实该国是否存在较高的欺诈风险,或通过 FATF 名单,和 WJP 指数来衡量该国追究罪犯责任的能力,以及通过引渡条约等信息来评估该国的司法合作水平。
最后,经验证的信息量和与被审查人员认识的时间长度也可作为降低风险的因素之一。通过以上的所有标准评估后,我们将得到一个客观、基于事实的风险与可信度评估。
审查合作伙伴和开发人员是提高项目安全性的有效方式,但将这一高级安全原则应用于区块链行业仍具有挑战性。
原因如下:相关的专业人员往往较为注重隐私,他们中的一些人甚至在某些情况下会受到当地政府的威胁。在这种敏感背景下,进行全面深入的背景调查,检测隐藏的风险信号并客观地评估个人风险非常费时费力。
这也是为什么许多项目和组织会选择只进行表面上的背景调查,哪怕这种调查无法验证被审查人员的真实身份,也无法发现其是否具备隐藏的危险性和恶意意图。
使用第三方调查专家来进行背景调查可以促进这些安全措施的有效性和效率。
第三方调查专家能够对被审查人员的个人信息进行保密,甚至不将这些隐私信息透露给项目团队,保障被审查人员的合法隐私权不被侵犯。
相比于准备招纳人才的项目团队,一个经过专业培训、具备犯罪和背景调查经验、了解严格有效调查流程的专家显然更能够发现相关风险,进行有效的背景调查和评估。
CertiK 的国际专家调查团由多国经验丰富的调查员和分析员组成,在专业性和可信任度上都毋庸置疑。除了全面的背景调查和风险评估外,CertiK 还具备一个保存着 Web 3.0 欺诈者相关信息的专有数据集,并定制了有助于欺诈检测的风险信号。