互聯(lián)網(wǎng)金融安全不僅是技術(shù)問題,更是管理問題。互聯(lián)網(wǎng)金融平臺(tái)要從事前、事中和事后三個(gè)方面進(jìn)行完善,監(jiān)管者也應(yīng)該建立相應(yīng)的評(píng)價(jià)機(jī)制。
2016年5月18日,全球最大黑客組織匿名者(Anonymous)突襲希臘央行之后,宣稱長(zhǎng)達(dá)30天的DDoS攻擊開始。隨著塞浦路斯央行、荷蘭央行、馬爾代夫央行等眾多官網(wǎng)站點(diǎn)被DDoS攻擊癱瘓,其他各國(guó)金融機(jī)構(gòu)紛紛拉響抗DDoS警報(bào)。根據(jù)該黑客組織公布的攻擊名單,中國(guó)人民銀行也赫然在列。
然而,正深受DDoS攻擊之?dāng)_的金融機(jī)構(gòu)并非僅限于此,互聯(lián)網(wǎng)金融行業(yè)或許正在成為最大的受害者——螞蟻金融、網(wǎng)貸之家等多家P2P平臺(tái)或第三方信息服務(wù)平臺(tái)接連遭到黑客攻擊。
今年上半年,全國(guó)金融行業(yè)(含互聯(lián)網(wǎng)金融)安全漏洞總量同比增長(zhǎng)181.9%。相關(guān)人士表示,目前互聯(lián)網(wǎng)金融行業(yè)存在很大的安全隱患,客戶信息泄露、支付漏洞、惡意攻擊等為云平臺(tái)的普及帶來了新的威脅。
“中國(guó)P2P網(wǎng)貸成為網(wǎng)絡(luò)安全的重災(zāi)區(qū)。”中央財(cái)經(jīng)大學(xué)金融學(xué)院教授郭田勇在接受《法制日?qǐng)?bào)》記者采訪時(shí)說。
P2P創(chuàng)業(yè)者遭勒索
見面地點(diǎn),秦浩云選擇了一家社區(qū)醫(yī)院的中醫(yī)病房。頭、肩膀插滿針灸,嘴里談?wù)撝ヂ?lián)網(wǎng)創(chuàng)業(yè)、黑客攻擊。這樣的采訪經(jīng)歷,對(duì)于記者來說,也算是新鮮。
對(duì)于如此選擇,秦浩云也滿是無奈。作為互聯(lián)網(wǎng)金融行業(yè)的年輕創(chuàng)業(yè)者,秦浩云正經(jīng)歷創(chuàng)業(yè)以來最大的困境——連續(xù)兩次被黑客攻擊,“說是攻擊,還不如說是勒索”。
幾天前,秦浩云的平臺(tái)遭受第一次攻擊,隨后客服收到黑客的敲詐,數(shù)目不多,1000元。
在秦浩云提供的聊天截圖中,記者看到,黑客開門見山,“我們封了你們的網(wǎng)站”“通知老板聯(lián)系我”,并附上了聯(lián)系QQ。
第一次被攻擊,摸不清狀況的秦浩云“滿足”了黑客敲詐勒索的條件。緊接著第二天,他又收到黑客的敲詐條件:
“受同行業(yè)雇傭封你們的網(wǎng)站”——經(jīng)過一晚上的了解,心里有譜的秦浩云知道,這是絕大多數(shù)黑客的慣用說法,真假不得而知;
“受保護(hù)網(wǎng)站安全運(yùn)行費(fèi),每月1000元”——黑客團(tuán)隊(duì)表示只要交錢,將不再攻擊,即使遭遇其他黑客攻擊,也有他們“擺平”。
交還是不交?交,會(huì)不會(huì)成為無底洞;不交,網(wǎng)站崩潰怎么辦,更重要的是客戶資金安全。
在緊急磋商之后,秦浩云的團(tuán)隊(duì)高價(jià)請(qǐng)人加固了網(wǎng)站防護(hù)措施,暫時(shí)化解這場(chǎng)危機(jī)。
在秦浩云看來,這些經(jīng)歷說起來輕描淡寫,但幾天下來,他已經(jīng)瀕臨崩潰。“有的平臺(tái)被敲詐走了七八萬(wàn)元,而且黑客侵襲的不單單是那些實(shí)力弱小的P2P平臺(tái),連某些防護(hù)能力一流的平臺(tái)也被攻擊過。扎完針灸,我要馬上和團(tuán)隊(duì)討論防護(hù)升級(jí),不能再有下次了”。
作為互聯(lián)網(wǎng)金融平臺(tái)的年輕創(chuàng)業(yè)者,經(jīng)歷過此輪“歷練”,秦浩云認(rèn)識(shí)到,互聯(lián)網(wǎng)金融平臺(tái)最大的成本不是平臺(tái)的運(yùn)營(yíng)成本,也不是獲取客戶的支出成本,更不是企業(yè)監(jiān)管上的投入成本,而是作為互聯(lián)網(wǎng)金融這個(gè)特殊行業(yè)的平臺(tái)信譽(yù)成本。
曾有業(yè)內(nèi)專家這樣評(píng)析,互聯(lián)網(wǎng)金融網(wǎng)站作為信譽(yù)展示的首要平臺(tái),如果因?yàn)榫W(wǎng)站信息泄露、宕機(jī)、頁(yè)面篡改等原因?qū)е掠脩粜湃螁适,那么平臺(tái)也就丟失了本身的信譽(yù),成為無源之水。再精妙的運(yùn)營(yíng)規(guī)劃、再?gòu)?qiáng)大的運(yùn)營(yíng)投入也于事無補(bǔ)。因此,作為互聯(lián)網(wǎng)金融企業(yè),決不能讓安全技術(shù)成為業(yè)務(wù)發(fā)展的絆腳石。
“互聯(lián)網(wǎng)金融平臺(tái)本身屬于一種創(chuàng)新性的金融業(yè)態(tài)或產(chǎn)品,將金融與科技進(jìn)行了結(jié)合。但如果從安全的角度看,互聯(lián)網(wǎng)金融的風(fēng)險(xiǎn)肯定更加復(fù)雜和多樣,至少原有的金融風(fēng)險(xiǎn)一樣沒有少,還增加了更多的技術(shù)風(fēng)險(xiǎn)可能;ヂ(lián)網(wǎng)金融起步于民營(yíng)企業(yè),來源于金融創(chuàng)新,在快速發(fā)展過程中,金融風(fēng)險(xiǎn)與金融安全問題越來越突出。”中國(guó)社科院金融所法與金融室副主任尹振濤對(duì)《法制日?qǐng)?bào)》記者說。
黑客攻擊成最大隱患
互聯(lián)網(wǎng)企業(yè)那么多,黑客為啥這么喜歡P2P?對(duì)此,曾有人作出這樣的比喻:如果你看著一個(gè)三歲娃娃抱著一箱錢走在街上,你不想搶?
“互聯(lián)網(wǎng)黑客等惡意攻擊問題一直伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,這與互聯(lián)網(wǎng)技術(shù)本身有關(guān),并不是互聯(lián)網(wǎng)金融或者說是中國(guó)特有的。在國(guó)際上,有很多有關(guān)黑客惡意攻擊國(guó)際知名機(jī)構(gòu)的案例。”尹振濤向記者介紹說,從國(guó)內(nèi)情況看,目前存在兩種傾向,一種是尋找漏洞攻擊國(guó)內(nèi)知名的大平臺(tái),用勒索手段獲得非法的利益。大機(jī)構(gòu)一般會(huì)穩(wěn)定投資者情緒,避免事件擴(kuò)散及聲譽(yù)受損等,平息事件。另一種是黑客直接攻擊安全防范不健全的小平臺(tái),直接攻擊其支付渠道等,盜取資金。
黑客攻擊第三方支付平臺(tái)的手段多是流量攻擊,主要意圖是導(dǎo)致用戶無法正常訪問。而流量攻擊無法從根本解決,只能通過流量清洗、加大帶寬來應(yīng)對(duì)。
然而,流量清洗及防護(hù)的價(jià)格并不便宜。曾有P2P平臺(tái)受攻擊后,3個(gè)小時(shí)的DDoS防護(hù)就花了16萬(wàn)元。據(jù)了解,以某公司的云盾DDoS防護(hù)為例,保底包月費(fèi)用接近4萬(wàn)元,按天的彈性付費(fèi)根據(jù)攻擊流量的不同,價(jià)格從不到兩千元至兩萬(wàn)余元不等,具體的收費(fèi)總額還要看防護(hù)情況而定。
正是基于被攻擊公司不舍得花錢的心態(tài),黑客常常開出數(shù)萬(wàn)元至數(shù)百萬(wàn)元不等的勒索金額。
據(jù)調(diào)查統(tǒng)計(jì),黑客攻擊互聯(lián)網(wǎng)金融平臺(tái)的目的主要為竊取數(shù)據(jù),占比高達(dá)48%,其次為敲詐勒索和商業(yè)競(jìng)爭(zhēng)。
秦浩云向記者介紹說,大批互聯(lián)網(wǎng)金融平臺(tái)被黑客攻陷,黑客攻擊除能引起系統(tǒng)癱瘓外,還將數(shù)據(jù)惡意修改、洗劫一空;黑客通過申請(qǐng)賬號(hào)、篡改數(shù)據(jù)、冒充投資人進(jìn)行惡意提現(xiàn)甚至資金被盜事件也曾發(fā)生。
根據(jù)中國(guó)權(quán)威第三方漏洞監(jiān)測(cè)平臺(tái)烏云網(wǎng)從2014年至2015年8月對(duì)P2P行業(yè)漏洞數(shù)量統(tǒng)計(jì)顯示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,其中8.1%被廠商忽略。除了系統(tǒng)安全漏洞,黑客攻擊技術(shù)的升級(jí)仍然是網(wǎng)絡(luò)安全最大的隱患。
“黑客尋找漏洞攻擊國(guó)內(nèi)知名大平臺(tái),主要與互聯(lián)網(wǎng)技術(shù)本身相關(guān),即便是大平臺(tái),投入再大的人力物力研發(fā)系統(tǒng),也同樣會(huì)存在不可預(yù)知的漏洞。因?yàn),技術(shù)總歸是人設(shè)計(jì)的。這只能通過技術(shù)的不斷迭代去彌補(bǔ)漏洞。”尹振濤向記者分析說,針對(duì)安全防范不健全的小平臺(tái),則是因?yàn)樵诨ヂ?lián)網(wǎng)野蠻生長(zhǎng)過程中,埋下了風(fēng)險(xiǎn)隱患,“那些對(duì)技術(shù)投入小,不重視金融安全風(fēng)險(xiǎn)的平臺(tái),受惡意攻擊情況就會(huì)很突出。同時(shí),‘蒼蠅不叮無縫的蛋’,這些平臺(tái)可能也存在著這樣或那樣的‘不可告人的秘密’,也給不法分子留下了機(jī)會(huì)”。
有業(yè)內(nèi)人士介紹,有些平臺(tái)直接在網(wǎng)上購(gòu)買較為廉價(jià)、安全性缺乏保障的網(wǎng)貸系統(tǒng),這樣的平臺(tái)在安全局勢(shì)尤為緊張的互聯(lián)網(wǎng)金融領(lǐng)域,無異于“裸奔”,平臺(tái)安全岌岌可危。
對(duì)此,尹振濤透露說:“據(jù)我所知,一套這樣的網(wǎng)貸系統(tǒng)市場(chǎng)價(jià)在20萬(wàn)元左右,這些系統(tǒng)存在大量風(fēng)險(xiǎn)漏洞。之前,也存在一個(gè)公司開發(fā)的網(wǎng)貸平臺(tái)系統(tǒng)受到攻擊,多家使用的平臺(tái)受影響的風(fēng)險(xiǎn)事件。主要原因在于,很多小平臺(tái)風(fēng)險(xiǎn)意識(shí)淡薄,只考慮如何做大規(guī)模、如何賺取利潤(rùn)。同時(shí),網(wǎng)貸平臺(tái)本身也有管理層結(jié)構(gòu)問題。在這些小平臺(tái),懂技術(shù)的不懂金融,懂金融知識(shí)的不懂網(wǎng)絡(luò)技術(shù)。”
中央財(cái)經(jīng)大學(xué)金融法研究所所長(zhǎng)黃震也向記者介紹了這樣的情況:“有一些平臺(tái)確實(shí)是考慮不周,他們按照產(chǎn)業(yè)價(jià)格購(gòu)買他人的軟件,或者由技術(shù)并不強(qiáng)的公司替他們開發(fā)所謂的軟件或在他人的軟件上修修改改而已。”
安全如何不再是痛點(diǎn)
監(jiān)管,是互聯(lián)網(wǎng)金融發(fā)展繞不開的話題。
黃震向記者介紹說,對(duì)于上述提到的購(gòu)買廉價(jià)技術(shù)、安全意識(shí)不強(qiáng)的平臺(tái),目前沒有相關(guān)監(jiān)管,“此前有文件對(duì)這些P2P平臺(tái)提出批評(píng),但具體怎么管,具體的政策還沒有出臺(tái)”。
中央財(cái)經(jīng)大學(xué)信息學(xué)院院長(zhǎng)、金融信息安全研究所所長(zhǎng)朱建明認(rèn)為,安全是一個(gè)整體,互聯(lián)網(wǎng)安全措施的級(jí)別要與商業(yè)價(jià)值相一致;ヂ(lián)網(wǎng)金融安全不僅是技術(shù)問題,更是管理問題。不僅包括一般的安全問題,更包括業(yè)務(wù)安全問題。當(dāng)前行業(yè)的普遍觀點(diǎn)是,云計(jì)算的負(fù)載資源能力以及建立在虛擬化平臺(tái)上的安全設(shè)備和安全管理網(wǎng)站有很大優(yōu)勢(shì),大數(shù)據(jù)安全應(yīng)該是互聯(lián)網(wǎng)金融公司安全問題的重中之重。
在尹振濤看來,P2P平臺(tái)、監(jiān)管者以及投資者應(yīng)各盡其責(zé):
對(duì)平臺(tái)來說,互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn),特別是技術(shù)風(fēng)險(xiǎn)問題,這是不可回避的。要從事前、事中和事后三個(gè)方面進(jìn)行完善。事前要重視金融風(fēng)險(xiǎn)和安全問題,投入人力、物力進(jìn)行防范。事中要有監(jiān)控手段和方法及相應(yīng)的機(jī)制。事后要有處置預(yù)案、補(bǔ)償機(jī)制設(shè)計(jì)等,盡量減少損失,降低破壞率;
隨著互聯(lián)網(wǎng)金融治理的不斷深入,自然會(huì)淘汰那些技術(shù)落后和不健康的小平臺(tái),這對(duì)整個(gè)行業(yè)的風(fēng)險(xiǎn)水平會(huì)有很好的提升。針對(duì)互聯(lián)網(wǎng)金融特有的性質(zhì),監(jiān)管方面也應(yīng)該有檢測(cè)的規(guī)章制度,或者互聯(lián)網(wǎng)金融協(xié)會(huì)主導(dǎo)或其他第三方評(píng)估機(jī)制主導(dǎo)的評(píng)價(jià)機(jī)制。當(dāng)然,在實(shí)施過程中,也應(yīng)該避免出現(xiàn)“賣認(rèn)證”的問題;
投資者作出選擇時(shí),應(yīng)該盡量選擇可靠的大平臺(tái),自己增強(qiáng)風(fēng)險(xiǎn)防范意識(shí),特別是互聯(lián)網(wǎng)技術(shù)和移動(dòng)互聯(lián)安全問題。
郭田勇則提出要提高從業(yè)人員的業(yè)務(wù)審查能力。
黃震也提出了類似觀點(diǎn):“按照現(xiàn)在已有的法律法規(guī)的標(biāo)準(zhǔn),對(duì)于提供軟件和網(wǎng)絡(luò)服務(wù)的服務(wù)商嚴(yán)格審查,這是現(xiàn)有的服務(wù)要求。”
此外,黃震建議,P2P平臺(tái)可以通過各行業(yè)協(xié)會(huì)提出安全保障要求,“在未來國(guó)家正式的監(jiān)管部門成立后,在監(jiān)管時(shí)可以提出要求,這是可以逐漸實(shí)施的方法和路徑。大數(shù)據(jù)時(shí)代,數(shù)據(jù)涉及到個(gè)人信息越來越多,需要加強(qiáng)安全保護(hù),數(shù)據(jù)安全要求規(guī)范立法的呼聲會(huì)越來越高,這是可以理解的,這方面的法律幾乎接近空白狀態(tài),每個(gè)人都感覺沒有安全感、有被偷窺的感覺。這方面應(yīng)先從公司的自律開始,逐漸建立行業(yè)的標(biāo)準(zhǔn)和規(guī)范”。