当前位置:首页 >> 钱沿
警钟长鸣 金融业网络安全备受关注
2017-08-18 06:34   记者李思  


   2017年上半年一系列网络安全事件,如“WannaCry”勒索病毒,影响了全球多个国家的政府、银行、企业、电力等系统,也为我们敲响了安全警钟。近年来,由于,区块链、人工智能等新兴技术的快速应用,使得金融行业成为网络攻击的重灾区。在此背景下,日前在京召开的第三届中国互联网安全领袖峰会,针对全球网络安全最新发展趋势,为产业“数字经济”转型献策。
  1
  信息安全已发生结构性改变
  一场席卷全球的网络战争悄然袭来。5月12日北京时间晚8点20分左右,当大连海事学院大四学生孙连城在宿舍修改毕业论文的时候,电脑上突然弹出了一个红色的框,上书“没有我们的解密服务,就算老天爷来了也没法解密。”紧接着,全国多所高校,中国石化加油站、医院、公安系统等多个部门的大部分电脑均被红框病毒攻占。这就是比特币勒索病毒(WannaCry)。在接下来的7个小时内,这种毒席卷全球九十九个国家,数百万台电脑沦陷。
  事实上,在全球安全威胁之下,无人可以独善其身。腾讯副总裁丁珂在第三届中国互联网安全领袖峰会上表示,随着互联网渗透到大家日常生活的方方面面,沿途的信息敏感部分不止在一家企业手里流转。随着一个交易的产生,相关数据就可能流转了超过10家以上的企业。
  “不久前,我的一个朋友来问我,如果手机丢了该怎么办?其实,他担心的并不是手机本身,而是手机里面珍贵的3000多张照片。”丁珂在接受记者采访时说,“以往,当我们提到安全保护的时候,更多的是在保护电脑、设备等硬件资产。如今,我们的生活消费越来越依赖于互联网,安全保护的对象也发生了很大变化。你的信息、内容、隐私、资料等或许比硬件本身更有价值,安全保护本身就是要保护数据资产等软资产。”
  由此,中央网信办网络安全协调局副局长高林以及与会的业内人士均表示,随着“互联网+”、数字经济的不断深入发展,众多关系国家安全、国计民生和公共利益的行业和领域的运营已经高度依赖网络,信息安全的威胁和挑战正在加剧。一旦这些行业和领域的重要网络系统遭到破坏或丧失功能,将给国家、企业、公众安全带来不可估量的危害和损失。
  腾讯首席运营官任宇昕也指出,信息安全已经成为数字经济发展的神经系统。新形势下,信息安全已发生结构性改变,其责任主体从单纯的政府及专业安全公司转变为所有参与数字经济的企业;信息安全公司也将由独立的第三方产业转为深度融入数字经济领域,成为数字经济的神经系统;行业合作机制也面临改变,技术共享、全球协同将成为新时期信息安全保障机制的重要基础,人才、技术、体系都将不再孤立存在。
  2
  金融业渐成网络攻击重灾区
  近年来,由于区块链、人工智能等技术的快速应用,使得金融行业正在快速网络化,这在为众多企业和消费者提供了便利的同时,也让金融行业成为网络攻击的重灾区。
  来自普华永道等机构的调查报告显示,过去几年针对个人、企业的网络金融犯罪行为不断上升。2015年、2016年两年,统计数据较此前连续增长超过100%。公安部、工信部下属机构的监测数据同样令人吃惊:2016年监测到的针对企业的网络金融攻击事件数量已超过万起,较2014年增长了近十倍。
  “大量新金融科技的应用,使得传统金融交易日益向数字化方向发展,在这样的背景下,越来越多的不法分子已经开始将目标瞄准整个金融行业,并开始利用各类网络技术实施犯罪。另外,由于互联网遍及全球,进一步提升了各类金融机构遭到网络攻击的风险。”VISA副董事长兼首席风险官艾睿琪表示,面临数据大规模泄露、资金被盗、业务中断等各种频发的安全挑战,如今支付保护的边界发生了变化,已经从过去保护用户的支付行为延伸到保护数据,并将与交易数据关联的个人信息全部纳入保护范围。
  “美国一项研究表明,2016年,消费者们对一些大型机构的信心跌到了历史最低,原因是他们的信息保护做得不够好。更多数据表明,消费者在支付手段和支付卡方面确实受到了更多侵袭和挑战。”艾睿琪向记表示。
  另外,艾睿琪进一步阐述,全球的欺诈正在往无卡方向转移,尤其是远程无卡交易。“远程消费者的认证识别比较困难,从全球来看,30%欺诈行为是发生在了无卡交易。但类似的欺诈会持续存在,因为未来任何设备、场所都可以成为支付的接入点,比如,汽车、冰箱,虚拟数字化系统等。2016年到2017年,大概有100亿的设备可以直接接入支付,而到2020年,预计将会有超过200亿的设备通过互联网形式进行联网支付。”
  这一结论也成为本次峰会上“智能硬件与物联网安全分会场”讨论的重要议题。与会专家们认为,物联网已经深入到人们生活的各个方面,汽车、家用电器、健康监测设备、路面传感器等都已实现网络互联。以物联网为代表的下一代智能联网设备,正迅速成为人们工作和生活的重要组成部分,伴随广泛应用而来的是安全风险。
  “随着大数据、人工智能的高速发展,人们衣、食、住、行等生活方式被深刻改变,同时,个人信息在无意识的状态下被采集、保存、分析,用户逐渐成为互联网时代下的‘透明人’”。来自GeekPwn实验室的高级研究员宋宇昊指出,现在越来越多的攻击活动正在通过物联网设备来实现,意味着连上网络的智能摄像头、POS机、智能手表、智能插座等都有可能成为获取用户个人隐私新的入侵“入口”。虽然当前物联网正在飞速发展,但是物联网的信息安全性却相对滞后。
  据预测,到2025年,全球将产生1000亿的连接,65亿互联网用户将使用80亿个智能手机,全世界将更加紧密地连接。
  “作为没有网点的纯互联网银行,我们借助腾讯天御业务安全防护体系,很多应用都会通过社交工具做授权登陆,通过开户时的手机号和ID在防护体系里进行验证,来判断这个客户究竟是否是我们想要的客户,安全分数如何。而后我们还要靠生物识别判断这个客户是不是本人。最终,还要有人工审核。”微众银行基础科技产品部负责人卢道和告诉记者。
  3
  不同层面金融风险与安全需甄别
  事实上,在全球范围内,对于零售支付领域的移动化和电子化,各国政府及监管部门,都有着共同的担心和忧虑。
  “首先是支付产品本身的安全性,会不会在此过程中带来客户资金及其他利益受损的问题。比如,个人的信息安全,整个支付流程中的信息化是否标准和安全,支付流程中会不会涉及到洗钱、恐怖融资等。其次,随着零售支付产业链的发展越来越快,逐渐走向电子化和移动化,监管部门还会担心市场秩序的透明度和定价问题。”中国社会科学院金融研究所所长助理杨涛表示,也就是说,如何一方面促进新兴电子支付能够更有效地支持宏观和微观经济社会的发展,另一方面也要尽可能地把控好风险与安全的边界。而谈及金融安全,杨涛则认为,在整个支付产业链条中,金融安全涉及的是不同层面。比如,支付产业链中可能出现一些新产品、新模式,首先要甄别,是支付本身的风险与安全,还是支付叠加以外的风险与安全。
  “可能是软件层面、硬件层面、业务流程层面、机构自身的层面、产品自身层面,情况是多元化的。”杨涛说,“很多余额宝之类的宝宝类产品,一方面是支付安全,另一方面是货币基金市场安全,这是要细分和区别看待的。而支付机构在支付过程中也可能出现预付卡支付以及挪用备付金等流动性风险。”
  面对不同的安全与风险防范,杨涛指出,企业、机构、银行,不同的组织,从不同的角度都要参与到其中。“政府和监管层需要把安全从系统性层面和非系统性层面加以区分,而微观层面,则更多可以由企业和行业组织来把握。”他说,“无论是安全与效率,还是风险与便捷,都是一个跷跷板。如今,行业发展对安全的重视程度出现了两级分化,相对领先的机构和组织在安全方面投入较大,但在一些行业靠后的、资源不足的、竞争能力有限的企业,其安全方面的漏洞却比较多。”
  谈及互联网安全未来,与会专家们指出,新形势下,消费者应提升安全意识;面对新秩序下的机遇与挑战,更需要政府、各行业、企业建立连接协同合作机制;政府及监管机构需要更为前瞻性地指引行业向前发展。