“大数据和人工智能时代,大家都在做开放银行,我担心的是,银行系统的安全能不能得到保障。此前公安部已经组织了‘护网’、‘净网’的行动,为了安全考虑我们已经关掉了很多系统。不然都开放了,把安全放在哪里?”一位国有大行信息科技部门负责人对21世纪经济报道记者表示。
开放银行涉及了作为数据提供方的银行和第三方机构,任何一方在数据保护方面存在缺陷,即会导致数据泄露的风险剧增。不仅仅是银行面临这样的风险,在金融业态中数据保护意识淡薄的现象并不罕见。
中国信通院云计算与大数据研究所金融科技部副主任何阳在8月31日在上海举办的2019世界人工智能大会“信息安全的AI时代”论坛中表示,金融本身是一个跟数据密切相关的行业,所有的业务基本基于数据应用。因此金融安全、数据安全和信息安全是不可割裂的。然而在很多金融业务进行过程中,底层数据面临越来越多的安全风险。
券商的遭遇
何阳讲了一个真实的案例:信通院属于工信部直属单位,因此内设国家电信反欺诈平台。而目前手机用户经常遭遇短信、电话骚扰,这个平台主要负责在用户投诉的基础上,将一些标记用户放进黑名单。但前段时间,信通院去几家券商调研,发现一个共通的严重问题。即有些用户在一些券商APP上一注册,就会立马收到“是不是要买股票、是不是要炒股”的信息。但这些券商营业部对此毫不知情,反而问:“我们的用户信息是怎么被泄露的?”
自查过程中,券商们怀疑,一种可能是运营商、渠道商泄露了信息,另外一种可能是手机终端的问题。因为智能手机短信与传统的功能机不同,短信也是智能接口,通过短信可以加载很多智能应用。APP本身也很有可能存在漏洞,不法分子会通过手段截取。甚至有券商反馈给信通院,称有人在暗网兜售用户信息。
“从一系列事件中,可以看出当前信息安全形势非常严峻。”何阳表示。
信息安全问题已经阻碍了部分金融机构把数据迁到“云端”。前微软人工智能首席科学家、Citadel首席人工智能官邓力在圆桌讨论中透露,一些金融公司不愿意把数据放到云端,症结在于云端对于信息的保护没有特别完善。因此,云服务提供商应当保证信息泄露的可能性降到几乎没有,才能避免客户流失。
合合信息联合创始人、启信宝CEO陈青山表示,物理层的数据中心可能发生泄漏的意外,网络层或是PC主机,乃至应用层的移动端APP和网页端业务都可能产生类似问题,“由于国内、国外网络连通的复杂性,网络对抗信息安全威胁的攻防战会越来越激烈。”
据其介绍,金融行业APP的应用层一旦有漏洞,外来攻击者可以从这个漏洞钻进去,泄露整个系统的信息。整个系统的安全性是由各个部分的安全性决定的,这一点有些类似于“木桶理论”。
有时候,应用层开发考虑到用户体验,或者开发人员的习惯,又或者是测试不到位,那么APP的某个API接口一旦有问题,系统风险非常大。这对于整个开发团队的质素和技能,以及开发整个流程的安全性保证,都提出了挑战。
善用“白帽子”
陈青山在接受21世纪经济报道记者采访时表示,互联网行业发展太快,监管往往跟不上形势,而互联网企业网络安全人才储备和人员安全意识都远远跟不上迅猛发展的势头。陈青山称,互联网公司应当加强自身安全机制,或合作第三方安全公司,提高相关预算,并采用“白帽子”机制来演练网络攻击,来提高内部人员安全素养和警惕性。
所谓“白帽子”,是黑客中的正面角色,他们会发现互联网公司的漏洞,以通知攻击为手段,并做恢复性备份,提交给存在漏洞的平台。
这帮“白帽子”如此作为,不是为了企业的感谢费,主要是为了展示自己的技术,获得成就感。
不仅仅是外部攻击,APP可能本身存在隐私政策问题,对用户的个人信息不当获取并留存会触及法律红线。今年7月,工信部通报10款APP无隐私政策,20款违规收集个人信息。
与此同时,工信部正式印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,将在行业内部署开展为期一年的提升网络数据安全保护能力专项行动,并明确提出在今年10月底前,完成全部基础电信企业、50家重点互联网企业以及200款主流APP的数据安全检查。
又比如,刚刚横空出世获得市场剧烈反应的“ZAO”换脸APP,隐私协议中强制用户授权,也并未保证用户人脸信息的安全性。虽然,其自称不存储客户人像信息,支付宝也表示不能用于支付环节,但也许依旧存在信息安全隐患。
“政府监管最离不开的是标准,标准其实是第一位的。产业可能在最开始发展可以有各种各样的技术,当真正到了要产业化实现应用的时候,标准是非常重要的。我去年也参加了央行专门面向人工智能的标准制定,当时选的一个领域是面向支付领域生物识别的标准,现在觉得这个领域非常具有预见性。”何阳表示。
去年欧盟出台了GDPR(《通用数据保护条例》),中国已经出台了网络安全法,但数据安全保护、个人信息安全方面的相关法律则还在路上。
“在当前的市场环境下,需要有新的标准。虽然可能欧盟的GDPR的确给企业的运营造成一些麻烦,但之所以采取这样的一个动作,的确是到了必须先规范再发展的阶段。在国内,现在人工智能的发展,特别是在人脸识别、人脸支付这一块,也已经到了必须有相应的标准和规范出来了。如果没有这样的标准和规范出来,我们每个人在享受人工智能带来便利的同时,也会面临着巨大的安全风险。”何阳称。
(21世纪经济报道)