金融科技安全重在“防未然”
近年来全球云安全事件层出不穷,其中数据泄露的情况占多数,金融科技安全也成为业界关注的热点之一。近日,在2023金融保险科技安全运营高峰论坛上,专家表示,金融安全的发力点要从“堵漏洞”转向“防未然”。
“新技术是一把双刃剑,在推动金融业数字化转型加速的同时,也成了‘黑产’发展的助推器。比如数据滥用造成的隐私泄露、金融欺诈风险,以及当人工智能算法的模型设计不完善造成的贷款歧视、影响股权交易等现象。”中国信息通信研究院云计算与大数据研究所高级业务主管徐秀认为,虽然我国在金融业数字安全发展方面已经具备一定基础,但“头痛医头、脚痛医脚”的现象仍然很普遍,网络安全、数据安全、应用安全等多种安全防护模式尚未实现有机结合,需要协同联动以实现耦合式防御,还需要从顶层规划、技术、管理等维度进行体系化梳理。
保障安全永远是金融科技发展的生命线。未来如何坚持发展和安全并举、创新与规范并重,构建金融科技安全防火墙?专家建议:一是科学选择和应用相对成熟可控、稳定可靠的技术,着力提高对业务经营发展有重大影响的关键技术的自主研发能力,降低外部依赖,避免单一依赖。二是强化数字渠道安全,保障金融消费者权益。三是依法依规保护金融数据安全。四是不断加强外包合作安全。
聚焦保险行业,数字化转型同样带来诸多网络安全挑战。“大量个人隐私及资产信息等重要数据呈指数级上升,保险公司面临大量客户数据和保单信息的存储与处理,增加了数据泄露和数据安全的风险,保险公司需要采取有效措施以防止数据泄露、未经授权的访问或滥用。”全国保险标准化技术委员会原秘书长许彬表示,黑客、勒索软件和网络钓鱼等攻击手段不断进化,给保险公司的数据安全和业务运营带来风险。此外,很多中小保险公司通过信息科技外包的方式增强核心竞争力、降低运营成本,在短时间内获取前沿技术,但也带来了诸多风险,关键业务中断、源代码泄露、违规获取敏感数据等事件时有发生。
许彬建议,保险业在聚焦前沿技术、收获创新成果的同时,要时刻注重技术安全风险防范,以“风险可控”为底线,严格落实保险科技创新安全标准,根据发展需要,邀请专业化机构进行检测认证。新技术复杂性高、产品迭代快,对于中小保险机构,可以考虑开展新技术联合攻关,弥补人员技能储备不足的短板。同时,可以不断探索建设以金融基础设施运营管理机构为主体,建立行业公有云平台的可能性,实现行业数据资源安全、快速、有序流动。此外,保险公司还应高度重视网络安全的重要性,确保有足够的预算投资于网络安全技术和人员,包括入侵检测与防御系统、安全监控和网络安全专家等,以加强网络防御能力。
比亚迪财险有关负责人郭东海表示,公司的安全运维手段正从事后防范模式向模块化、体系化安全防护模式转变。“最初我们面临互联网上很多的应用场景,也不太好预知安全漏洞,基本上是靠每天人工24小时值班等待,一旦发现问题,全体人员加班,安全运营模式讲究快,但存在的问题是整个安全运维管理容易出现长期在原地打转的状况。而且,很多公司都没有独立的信息安全部门。”通过与北京华清信安科技有限公司合作落地的安全运营解决方案,公司解决了覆盖网络、业务、主机多层面的数据统一管理问题,形成企业安全数据联动响应机制,大幅提升了安全工作效率。郭东海表示,下一步将持续提升企业内部安全数据统一管理能力,实现高效安全的运营体系建设。
“面对日益复杂、智能、快速变异的网络威胁,传统安全厂商无论如何努力,都无法在特征库和规则库更新的速度上跑赢攻击方。最近几年新兴安全技术如雨后春笋般出现,但终归仍是单点能力或单一手段,要从本质上提升安全监护能力,做到主动防御,防患于未然。”对外经济贸易大学金融保险科技安全研究中心在此次论坛上发布的《金融保险行业云安全智能运营技术白皮书》提出,应以传统安全能力体系为基础,以大数据和人工智能机器人技术等新型威胁检测技术为核心,辅以自动化安全响应技术,建立威胁检测、感知、监控、预警、处置的体系化、持续性安全运营机制。可喜的是,以安全运营为核心的安全建设理念已经越来越受到业内重视,大部分企事业单位和政府机构已经或正在搭建安全运营体系。