时间:2019-12-24 13:58:52来源:新京报
“越来越多银行的业务从PC端转移到了移动端,尤其对中小银行来说,线下营业厅的成本相对较难负担,因此对手机端更加看重,许多业务都转移到线上来做了,在手机端购物和转账的操作也越来越多。”据蔡准介绍,芯盾时代主要的客户群就是金融机构客户,“我们300多个客户里有200多个客户是银行,还有不少是证券公司和保险公司。在移动应用的场景下,许多金融机构客户需要在手机端拥有足够安全的身份认证措施,这类认证措施在以前是U盾,但由于手机无法使用U盾,而人民银行和银监会对5万以上的转账额度又有相应的监管文件要求,因此我们就提供了能够符合监管要求的多因素认证产品,让APP的支付额度能够从几千元提高到二三十万。”
12月13日,奇安信集团副总裁梁志勇对新京报记者表示,信息化建设与合规需求是企业投入安全建设的两大原因。“现在很多企业都有做大数据、云计算的需求,而这些都附带有安全的要求。此外,国家也提出了很多需要企业达标的硬性标准。而不同行业的企业,也需要达到各自不同的垂直性很强的行业标准,银行、公安等系统都是如此。”
蔡准告诉记者,从2016年开始,银监会明确发文对普通转账要求进行短信验证,并要求对短信验证进行保护。2017年则对银行的风控系统提出了要求,这导致了2018年和2019年成为了银行风控系统建设的高峰期。与此同时,等保2.0标准也对移动终端提出了更高的要求体系。可以看到各个机构都意识到了互联网业务面临的风险,需要金融机构采用对应的防控措施。
根据央行发布的“237号文”,央行对移动金融APP安全问题进行管理规范,主要从提升安全防护、加强个人金融信息保护、提高风险监测能力、健全举报处理机制、强化行业自律5个方面入手,并对备受关注的个人金融信息保护划定了四大红线。
多位金融行业受访者对新京报记者表示,受各类标准出台的影响,金融安全需求在近几年持续增多,金融行业不断在安全层面加大投入。
“我们在银行成立的第一天开始,科技部下面下设了一个独立的大数据中心,专职做数据的平台建设工作,数据治理的工作,目前我们行里面自己的开发人员大概200人左右,大数据开发人员占到1/3,数据对我们来说是核心资产。此外,在信息安全上的投入,相对来说我个人认为也是比较大的,尽管现在我们全行的开发人员才200人,但是专职的信息安全人员已经20人了,风险部门还有一个专职的反欺诈的团队,他们更多是做业务安全,我们科技这边更多的是做信息安全,几个不同的层次强化数据安全的保护工作。”新网银行信息科技部负责人周勇在新京报主办的“金融进化论:2019新京报金融科技论坛”上表示。
“前不久央行发文指导互联网金融协会启动了金融APP的备案管理试点工作,简单来说,就是对金融类APP开展标准测评和认证,实施动态监测,及时处置相关风险。”央行科技司司长李伟12月11日表示,加快标准供给的同时,也在积极推进标准的落地实施,把金融科技标准实施与加强金融科技创新监管相结合,通过标准、测评和认证三个环节的工作规范金融科技创新应用,提升金融科技的监管效能。
银行遭遇互联网黑产 提高风控水平成课题
蔡准告诉新京报记者,安全公司为金融机构提供安全技术支持的具体方式是集成一个SDK到银行的APP中,“我们SDK索要的权限只要银行APP本身要求开启的权限即可,没有额外要求。”
根据中国信息通信研究院发布的《2019金融行业移动APP安全观测报告》,截至2019年9月11日,该报告团队从232个安卓应用市场中收录了13.33万款金融行业APP,发现有70.22%的金融行业APP存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行APP仿冒、植入恶意程序、攻击服务等,对APP安全具有严重威胁。其中Top3的高危漏洞均存在导致APP数据泄露的风险。
“从银联卡支付到银联手机闪付,再到银联云闪付APP以及二维码支付,随着时代的发展,目前风险也加速向线上移动端转移,向支付业务全链条全方位渗透,由单一风险向各类风险交织并存发展,金融科技与新型风险相结合,催生团伙犯罪以及黑色产业链条,增大了风控的压力。”12月14日,中国银联法律合规部总经理郑晓琴在互联网安全与刑事法制高峰论坛上称。
那么,金融机构面对的风险主要有哪些?