作為網際網路金融的主體,企業保護資訊安全責無旁貸。網際網路金融企業在資訊安全保護上,遠遠不夠。目前網際網路金融企業,沒有多少企業是達到銀行資訊安全及格線的。
網際網路金融行業是個人資訊洩露的重災區
“打包價95萬元, 上海第一陣容網際網路金融公司資料,超百萬份客戶資料。” 近日, 筆者微信上陌生人發來第一個微信。 “知名的上海p2p平台, 資料都是9月初最新的”“姓名,id,身份證,電話,成交所有資料等”。筆者一再追問平台名稱, 對方以敏感為由不願确切回答。筆者沒有進一步去冒險親自去交易,是以也無從确認是否屬實,但是筆者已經把相關通話資料作為線索轉交給有關監管機關去處理。
圖1
一個月前,年輕的徐玉玉因為個人資訊被不法分子盜竊,導緻被騙學費而失去寶貴性命的事件引起全社會廣泛關注。 這種慘劇還令人記憶猶新,明目仗膽販賣個人資訊的不法之徒主動就找上門來了,而且是發生在新興的網際網路金融行業。 這樣大範圍具有商業價值的資訊洩露,必然導緻該資料在黑市上到處流轉和販賣,不僅造成資料源公司巨大損失,而且讓消費者承受擾人的廣告宣傳。
更加令人擔心的是,萬一流傳到騙子手裡,不知誰會成為下一個“徐玉玉”。真讓人既憤怒而又奈何。而這并非特例。 中國網際網路協會釋出的《網民權益保護調查報告(2015)》顯示,78.2%的網民個人身份資訊被洩露過、63.4%的網民個人網上活動資訊被洩露過。資訊洩露的社會毒瘤,已經蔓延到網際網路金融領域。
2013年阿裡支付寶前員工在工作3年内下載下傳支付寶使用者20g的資料出售;2015年4月芝麻金融 9000個高淨值客戶資料洩露; 2016年初銅掌櫃被爆出平台60萬使用者大量敏感資訊洩露。然而我們所知道的,隻是被新聞披露出來的冰山上一角,不少網際網路金融企業在資訊洩露時候為了維護聲譽,往往不願公開,粉飾太平。
8月19日,移動網際網路系統與應用安全國家工程實驗室釋出了《移動網際網路金融app資訊安全現狀白皮書》。參與白皮書撰寫的作者朱易翔說到:”測試發現,參與測試的大部分app均存在加密算法誤用、加密協定實作不正确、不完整的情況,并且在保護使用者的交易資訊、防止交易被篡改、防止使用者身份被盜用方面表現不佳。”
這樣的測試結果并不讓人意外,據筆者對網際網路金融領域的了解,很多一線平台在技術上投入不夠,管理層對資訊安全重視嚴重不足。中小平台在安全技術上更加薄弱,很多都是購買通用開源代碼模闆或者外包。網際網路金融業漠視資訊安全的現狀埋下了衆多隐患。而我國的網際網路金融産業經過3年的迅速增長,覆寫面已經很廣。
麥肯錫公司在其釋出的《中國銀行業創新系列報告》中稱:2015年底,中國網際網路金融的市場規模達到12-15萬億元,占gdp的近20%。網際網路金融使用者人數已經超過5億,這樣龐大的使用者群和涉及面,如果資訊安全事件愈演愈烈甚至失控,将會對國家和社會造成不可估量的損失。網際網路金融資訊安全已經刻不容緩。
網際網路金融行業的監管者,無疑是解決資訊安全問題的關鍵。2015年7月,由央行牽頭,聯合9部委聯合公布《關于促進網際網路金融健康發展的指導意見》中, 在20條指導意見中用第17條整專門強調網絡與資訊安全:“從業機構應當切實提升技術安全水準,妥善保管客戶資料和交易資訊,不得非法買賣、洩露客戶個人資訊。人民銀行、銀監會、證監會、保監會、工業和資訊化部、公安部、國家網際網路資訊辦公室分别負責對相關從業機構的網絡與資訊安全保障進行監管,并制定相關監管細則和技術安全标準”。
2016年末有望加速出台的中國首部《網絡安全法》,明确指出“網絡營運者對其收集的公民個人資訊必須嚴格保密,不得洩露、篡改、毀損,不得出售或者非法向他人提供。網絡營運者應當采取技術措施和其他必要措施,確定公民個人資訊安全,防止其收集的公民個人資訊洩露、毀損、丢失。”
這樣明确的立法顯然沒有刹住非法買賣洩露客戶資訊的歪風。 這個跟監管者沒有下重拳真正嚴格執行不無關系。所謂“亂世用重典”,對于資訊洩露的亂象,政府必須使用強硬的懲罰措施,殺雞儆猴,以儆效尤,才能讓從業者從根本上真正重視資訊安全,才能讓不法分子犯法之前三思而後行。美國政府對2008年金融風暴始作俑者的懲戒,堪稱全世界“重典”的楷模。
金融風暴8年來,美國政府累計罰金達到驚人的1500億美元,國際大行紛紛淪陷。就連沒拿政府一分錢資助,靠自身實力挺過難關的德意志銀行,最近也收到140億美金的巨額罰單。近期全世界都擔心她因巨額罰單而像雷曼一樣轟然倒塌。在這樣高壓懲罰下,所有銀行戰戰兢兢,不敢輕易越雷池一步。
資訊安全和隐私保護是世界性難題,美國政府的做法可圈可點。任何人可以通過申請美國聯邦貿易委員會(一個專門保護消費者的組織)的“不許打電話”(donotcall)的服務而免受電話騷擾。這服務從創立2003年到現在,有105起違規的企業受到懲罰,罰金累積7400萬美元。也正是由于有這樣的法規和執行力保護, 美國人的手機号很少改變,用一輩子都不罕見。而在國内由于煩人的騷擾電話,身邊的不少朋友幾年要換一次手機号。當然,中國的監管者也有“重拳出擊”達到顯赫效果的案例,比如治理酒駕。任何從海外回來的人, 都會納悶, 為什麼一向以不遵守規則的中國人,飯桌上談到酒駕就聞虎變色,變得循規蹈矩。這都要歸功于公安部采用的,從外國人角度來看幾近苛刻的,查處酒駕治理方法。
酒駕和個人資訊洩露,前者是烈性毒藥,車禍的後果害人害己,人命關天,引起高度重視; 後者是慢性毒藥,在社會蔓延開來一點點毒害人民财産權隐私權,積累到最後出了人命,爆發出類似“徐玉玉”的事件,才引起關注和重視。 不知道需要多少個“徐玉玉”才能讓監管真正花大力治理?靠人命來推動立法的真正執行,這樣的代價值得嗎?難道不能一開始就避免嗎?
網際網路金融資訊安全标準的缺失,也是企業不作為的原因之一。 很多企業有實力也有意願, 卻苦于沒有一套公認的标準來參照和衡量 。政府應該引導參與各方,盡快出台資訊安全标準。這不僅讓企業有标準可以依,也能幫助監管機構評估企業風險,準許企業注冊,決定懲罰程度等等。 可喜的是,在筆者9月份拜訪央行,參加中國網際網路金融協會的一次閉門座談會上, 李東榮會長和陸書春秘書長多次提到協會高度關注資訊安全并緻力于推動行業的标準。期待這一标準能盡快出台。
比如筆者以前在華爾街投行上班,工作用電腦CD光牒和usb是被技術限制無法使用的,裝任何軟體都要技術部門評估準許, 即時通訊軟體是内部專用而不是微信qq等外部軟體,私人電腦是不允許存任何工作資料,要在家裡工作隻能經過繁瑣的硬體和軟體密碼遠端連上公司内部電腦,需要給外部發郵件若含有附件資料,是必須加密且隻能發給非私人郵箱。
有一次筆者發附件給客戶群,其中一個客戶使用個人郵箱,發信後技術部門立即電話來了,要求筆者解釋,否則該郵件将被攔截。
當然,以國際投行的資訊安全标準要求也許過高,但是網際網路金融公司既然是用技術從事金融活動,基本的金融資訊安全還是必須達标的。這裡銀行的很多做法可以參考,比如管理層的重視,資金人才和安全系統的投入,内部流程的管控,資訊的加密和使用的隔離,人員的教育訓練等。還可以借助第三方監測機構,主動對系統的資訊安全性進行全方位的考核和監督。
最後,網際網路金融企業在遭受資訊盜用的時候,有義務按規定通知受害的使用者,披露給監管機關,而不能遮遮掩掩,用錢私了。這樣不僅違反資訊披露法規,損害客戶的利益,而且也助長了不法分子的嚣張勢頭。
個人在資訊安全保護裡是最無助的受害者,但卻也不是隻能束手待斃。為了維護每個人的切身利益,我們應該有更多人挺身而出,積極行使人民當家做主的權利,讓各級人大代表向政府傳達我們的強烈保護資訊安全的呼聲。 同時我們作為客戶還可以用腳投票,堅決不成為不重視資訊保護的企業的客戶。 最後,我們要敢于和不法分子做鬥争,遇到不法分子和企業盜用販賣資訊,不僅不參與,還要檢舉揭發,懲惡揚善,盡自己一點微薄的力量。
在網際網路金融的資金安全已經被重視,資訊安全也應該逐漸完善規範和有效執行。 監管機關,網際網路金融企業,第三方機構和個人,隻有所有參與者齊心協力,才能赢得網際網路金融資訊安全這場戰争。
(本文作者介紹:網際網路金融千人會聯合創始人, 曾任聯想控股旗下p2p翼龍貸副總裁,德意志銀行(美國)戰略科技部副總裁,注冊金融分析師(cfa), 金融風險管理師(frm)。)
本文轉自d1net(轉載)