近年来,随着大数据、人工智能、区块链等技术的发展,金融业与科技加速融合,新业务、新技术的大量涌现,导致金融风险、信息技术风险敞口加大。同时,随着金融对外开放力度不断加大,也使得金融信息基础设施直面国内外不同形式的网络风险。金融业一旦发生安全风险,不仅会威胁到用户的利益,也会给金融企业本身带来巨大的损失,破坏整个行业的发展,甚至带来系统性金融风险。
9月4日,“ISC互联网安全大会—金融科技安全论坛”在北京国家会议中心举行。本次论坛以“‘科技+安全+生态’金融发展的新态势、新思路”为主题,来自金融行业的专家学者分别围绕大数据助力金融业务安全、保险业信息安全思路和新金融时代下的网络安全创新体系等议题展开了广泛而深入的讨论。业内普遍认为,随着金融领域面临的网络威胁不断加大,安全已经成为金融业未来发展的根本保障,全行业加大防风险力度也已成为行业的当务之急。
360相关监测报告显示,2016年和2017年针对金融机构的网络攻击日益增多,其中SWIFT攻击、ATM攻击、信息泄露、恶意软件、网络诈骗、系统故障和DNS攻击等网络安全事件频发,给金融机构造成了巨大的财产损失。例如,2017年度,全球十余个国家的多家银行机构使用的SWIFT(银行结算系统)陆续遭到网络攻击,此类系统是全球金融生态系统的基础。攻击者能够利用金融机构内部的恶意软件操纵处理跨境交易的应用程序,之后可在全球任意金融机构处提取资金。
除了直接针对金融行业基础设施进行网络攻击,大量的网络攻击行为,还造成金融业信息泄露事件频发,给用户和金融机构本身造成巨大的威胁。2017年4月,英国某知名发薪日贷款(Payday Loan)公司确定其遭遇数据泄露。该公司在声明中指出,黑客可能非法访问了数十万账户的个人信息,关系到预计总计高达27万客户数量的个人信息。本次泄露的信息可能包括:客户姓名、电子邮箱、家庭住址、电话号码、银行卡的后四位数、银行卡账号和银行代码。
对于金融业面临的巨大网络安全风险,业内普遍认为,加大全行业防风险力度已成当务之急。中国银行数据中心处长徐雷鸣表示,在金融领域,风险识别是核心,数据的维度和密度是基础,数据分析与建模能力是关键。他介绍说,中国银行一直致力于大数据、云计算等先进技术的研究。目前,中国银行利用大数据优化企业内部管理,实时监控和预警从而控制风险,保障金融业务安全。大数据带来的数据分析能力的提升和风控模式的创新,使得大数据已经成为商业银行风险管理的重要工具,但同时,大数据也面临着数据收集、技能储备和安全等方面的挑战。
金融领域的网络安全威胁并非只针对金融机构。支付宝、微信、银联等基于互联网开发的电子支付手段已经渗透到每个人的生活,个人用户在享受其带来的便捷的同时,也要注意防范随之产生的风险。例如,某国外电子支付公司在2017年年末公开承认,该公司当年收购的一家支付管理公司遭遇了网络安全事件,在此期间,攻击者可能访问了储存160万用户信息的服务器。业内认为,一旦相关用户信息被盗,不法分子将很容易利用这些信息进行支付、消费、转账、贷款等操作,将会给用户和金融机构造成难以估量的损失。
中国银联电子商务与电子支付国家工程实验室首席安全技术专家杨阳表示,电子支付正面临着安全事件、新技术新业务、外部攻击、攻防对抗等全新的安全挑战。安全是电子支付的核心,安全需要在适应快速交付的背景下实现协同、保障,并且需要提升持续反馈和风险管理能力。
杨阳介绍说,银联在保证电子支付安全方面已经做了很多工作,包括建立电子支付研究体系和安全研究平台,构建网络安全攻防环境;积极探索基于运营商的身份认证技术,优化用户体验;建立威胁情报库,通过网络流量分析,及时发现异常流量行为,进而对攻击行为进行预警和提早防御;响应国家“安全可控”的政策要求,大力推进国密算法研究等。此外,银联基于物联网、人工智能等新兴技术,正在着力开发无感支付、免密安全认证、可穿戴设备支付等新型支付形式。
在新的攻防环境下,金融业对于最新型的网络攻击以及攻防转换的认识有限,网络安全人才缺口也较为严重。中国工程院院士、中国银联股份有限公司董事、电子商务与电子支付国家工程实验室理事长、主任柴洪峰认为,在上述情况下,如何响应国家号召、保证系统的可用性以及网络安全如何从传统静态防御向动态发展,都将是我们需要思考和努力的方向。
360企业安全集团战略咨询规划总监邬怡提出了“新一代数字金融安全体系思考”的议题。他表示,目前,我们已经进入了数字金融时代,客户对金融的要求也提升为“随时随地、知我所需和量身定制”。与信息化时代相比,数字化时代对金融安全也提出了更高的要求。因此,金融业要重新思考现有的安全体系能否适应数字金融的未来。
他提出,金融业需要进行安全思想的转变和进化——从“创可贴模式”到顶层安全设计;从查漏补缺到系统规划;数据驱动的安全叠加演进,金融业需要进行威胁驱动防御体系的设计和面向数字化转型的金融安全体系规划。
谈到金融行业如何提升风险防范和安全保障,中国民生银行信息科技部安全处处长李吉慧表示,金融行业需要加速科技和金融业务的融合度、挖掘投资潜力;提升协同合作,加强行业数据共享,充分利用安全威胁情报和漏洞信息,共同提高业务风险识别能力;分析挖掘原有安全投入产品和服务的潜力,发挥最大产能,优化管理工具和流程,多部门协同合作促进业务产品安全创新。
