(資料圖片僅供參考)
原標題:金融科技安全重在“防未然”
經濟日報記者 楊然
近年來全球云安全事件層出不窮,其中數據泄露的情況占多數,金融科技安全也成為業界關注的熱點之一。近日,在2023金融保險科技安全運營高峰論壇上,專家表示,金融安全的發力點要從“堵漏洞”轉向“防未然”。
“新技術是一把雙刃劍,在推動金融業數字化轉型加速的同時,也成了‘黑產’發展的助推器。比如數據濫用造成的隱私泄露、金融欺詐風險,以及當人工智能算法的模型設計不完善造成的貸款歧視、影響股權交易等現象。”中國信息通信研究院云計算與大數據研究所高級業務主管徐秀認為,雖然我國在金融業數字安全發展方面已經具備一定基礎,但“頭痛醫頭、腳痛醫腳”的現象仍然很普遍,網絡安全、數據安全、應用安全等多種安全防護模式尚未實現有機結合,需要協同聯動以實現耦合式防御,還需要從頂層規劃、技術、管理等維度進行體系化梳理。
保障安全永遠是金融科技發展的生命線。未來如何堅持發展和安全并舉、創新與規范并重,構建金融科技安全防火墻?專家建議:一是科學選擇和應用相對成熟可控、穩定可靠的技術,著力提高對業務經營發展有重大影響的關鍵技術的自主研發能力,降低外部依賴,避免單一依賴。二是強化數字渠道安全,保障金融消費者權益。三是依法依規保護金融數據安全。四是不斷加強外包合作安全。
聚焦保險行業,數字化轉型同樣帶來諸多網絡安全挑戰。“大量個人隱私及資產信息等重要數據呈指數級上升,保險公司面臨大量客戶數據和保單信息的存儲與處理,增加了數據泄露和數據安全的風險,保險公司需要采取有效措施以防止數據泄露、未經授權的訪問或濫用。”全國保險標準化技術委員會原秘書長許彬表示,黑客、勒索軟件和網絡釣魚等攻擊手段不斷進化,給保險公司的數據安全和業務運營帶來風險。此外,很多中小保險公司通過信息科技外包的方式增強核心競爭力、降低運營成本,在短時間內獲取前沿技術,但也帶來了諸多風險,關鍵業務中斷、源代碼泄露、違規獲取敏感數據等事件時有發生。
許彬建議,保險業在聚焦前沿技術、收獲創新成果的同時,要時刻注重技術安全風險防范,以“風險可控”為底線,嚴格落實保險科技創新安全標準,根據發展需要,邀請專業化機構進行檢測認證。新技術復雜性高、產品迭代快,對于中小保險機構,可以考慮開展新技術聯合攻關,彌補人員技能儲備不足的短板。同時,可以不斷探索建設以金融基礎設施運營管理機構為主體,建立行業公有云平臺的可能性,實現行業數據資源安全、快速、有序流動。此外,保險公司還應高度重視網絡安全的重要性,確保有足夠的預算投資于網絡安全技術和人員,包括入侵檢測與防御系統、安全監控和網絡安全專家等,以加強網絡防御能力。
比亞迪財險有關負責人郭東海表示,公司的安全運維手段正從事后防范模式向模塊化、體系化安全防護模式轉變。“最初我們面臨互聯網上很多的應用場景,也不太好預知安全漏洞,基本上是靠每天人工24小時值班等待,一旦發現問題,全體人員加班,安全運營模式講究快,但存在的問題是整個安全運維管理容易出現長期在原地打轉的狀況。而且,很多公司都沒有獨立的信息安全部門。”通過與北京華清信安科技有限公司合作落地的安全運營解決方案,公司解決了覆蓋網絡、業務、主機多層面的數據統一管理問題,形成企業安全數據聯動響應機制,大幅提升了安全工作效率。郭東海表示,下一步將持續提升企業內部安全數據統一管理能力,實現高效安全的運營體系建設。
“面對日益復雜、智能、快速變異的網絡威脅,傳統安全廠商無論如何努力,都無法在特征庫和規則庫更新的速度上跑贏攻擊方。最近幾年新興安全技術如雨后春筍般出現,但終歸仍是單點能力或單一手段,要從本質上提升安全監護能力,做到主動防御,防患于未然。”對外經濟貿易大學金融保險科技安全研究中心在此次論壇上發布的《金融保險行業云安全智能運營技術白皮書》提出,應以傳統安全能力體系為基礎,以大數據和人工智能機器人技術等新型威脅檢測技術為核心,輔以自動化安全響應技術,建立威脅檢測、感知、監控、預警、處置的體系化、持續性安全運營機制。可喜的是,以安全運營為核心的安全建設理念已經越來越受到業內重視,大部分企事業單位和政府機構已經或正在搭建安全運營體系。
關鍵詞:
責任編輯:Rex_02