浅谈金融网络安全的现状及对策建议

2021-01-15 00:46高赫
科技创新导报 2021年23期
关键词:金融科技防范对策

高赫

摘要:近年来,随着金融科技的不断发展,金融服务网络化程度不断提升,同时也逐渐成为犯罪分子攻击的重要目标,这一问题在今后相当长的时间内将持续存在。本文阐述了当前金融网络安全的现状,以及金融网络攻击的诱因、特点和趋势,深入分析其对金融体系带来的挑战,并总结了现有的针对金融网络攻击的应对经验,提出了我国应对金融网络攻击的建议,以期提高对金融网络安全的重视程度,减少金融网络攻击带来的损失。

关键词:金融网络安全 金融网络 金融科技 防范对策

[文章编号]          [JEL分类号] G29      [文献标志码] A

Abstract:Inrecentyears, with the continuous development of financial technology, the degree of networking of financial services has been continuously improved; at the same time, they have gradually become an important target for criminals. This problem will persist for quite a long time in the future. This article elaborates on the current status of financial network security, the causes, characteristics and trends of cyber-attack, and in-depth analyzes the challenges it brings to the financial system. The article also summarizes the current status of financial network security, attack methods and countermeasures, and puts forward preliminary suggestions on financial network security, to increase the attention to financial network security and reduce the loss caused by cyber-attacks.

Key Words: Financial network security; Financial network; Financial technology; Countermeasures

近年來,金融业务网络化趋势日益显著,而金融网络攻击也呈上升趋势,其频率、范围和复杂度递增,引发各界关注。金融网络攻击又是多种攻击手段的混合体,因此保障金融网络安全,是一个跨学科、跨领域的系统性工程。

本文阐述了当前金融网络安全的现状,以及金融网络攻击的诱因、特点和趋势,深入分析其对金融体系带来的挑战,总结了现有的应对经验,并提出我国应对金融网络攻击的建议。

1.金融网络攻击的现状

过去十五年中,随网络化程度的提升,网络攻击的数量增长了近7倍,而其中相当部分针对金融系统发起,金融网络安全问题对金融体系稳定带来极大挑战。一旦大型金融机构、核心系统遭受攻击,威胁极易快速传导至整个金融体系。同时,黑客工具的获得成本和使用难度降低、功能日益强大,使得初级黑客也能轻易造成严重破坏。攻击不辨国界,机构不论大小,皆会受到侵害。

1.1.中国的现状

中国信息通信研究院、平安金融安全研究院以及普华永道共同发布的《2018-2019年度金融科技安全分析报告》[1]显示,“在过去一年中,所有被调研企业均表示发生过不同类型的网络安全事件”。其中,针对客户资料及企业重要业务数据的攻击事件合计高达44%的比例,占比最高;而“DDoS攻击及网络勒索、病毒、蠕虫等恶意程序攻击”合计占比41%。特别是勒索病毒及蠕虫,在2018年至2019年上半年成为持续影响金融科技企业主要的网络安全风险。

1.2.其他主要国家的现状

2017年6月,在对美国和英国163名业主及4000多名员工就“现有和未来金融网络安全战略”进行的调查表明:金融网络攻击风险不仅是单纯的技术问题,与人相关的风险日益突出。因员工安全教育不足或疏忽渎职引发的风险事件占比高达66%、外部入侵威胁占18%、其他占9%、采用社会工程学的金融网络犯罪占3%、金融网络勒索犯罪占2%、使网络业务终断的占2%。(Adele,Adeola., O‘Connell,Michael.,Watson,Towers.,2017)。

2.攻击金融网络的诱因、特点和趋势

2.1.金融网络攻击的诱因

2.1.1. 窃取货币资产

大量资金账户可通过金融网络触达,而新兴的数字货币也依托网络创造和流通,成为攻击的首选目标。

2.1.2. 窃取机密信息

金融体系时刻在产生和处理着海量信息,包括资金账户信息、银行卡信息、征信信息、金融机构的商业机密,甚至包括个人隐私信息。这些信息极具商业价值,成为攻击的重要目标。

2.1.3. 破坏金融系统

金融网络具有广泛连接性,关系公民的切身利益和社会稳定,地位异常重要。一旦重要金融机构遭袭,系统崩溃,数据丢失,将影响金融业务的正常开展,进而影响社会稳定。

2.2.金融网络攻击的特点

2.2.1. 路径广

金融网络空间通常分为4层:底层网络(金融机构间通信)业务系统(金融业务处理)客户端(客户、系统管理员、业务人员等使用)终端客户。

随着金融科技和金融业务的迭代升级,底层网络、业务系统、客户端的种类数量激增,移动终端的普及也促使客户群体不断壮大,这为网络攻击提供了众多的路径和选择。

2.2.2. 方式多

(1)暴力攻击:如借助高性能计算设备对各类密码进行暴力破解,或通过僵尸网络等发动DDoS攻击,导致金融系统瘫痪等。

(2)漏洞攻击:操作系统、数据库、网络通信协议、加密算法以及业务系统常常存在设计缺陷;而制度流程缺位、安全责任不明、管理执行不力也会带来安全隐患,极易被利用发起攻击。

(3)钓鱼攻击:人性的弱点、专业知识欠缺及防范意识薄弱,也会被网络攻击者利用。通过诈骗电话、木马程序、钓鱼网站、伪基站、伪热点等,引诱受害人,从而盗取账户密码、支付验证码以及金融资产。

(4)后门攻击:金融机构的软硬件供应商为便于系统维护,会预留“后门”,一旦被攻击者发现并获得控制权限,便可轻而易举地窃取金融数据和资产。

(5)三方攻击:黑客还可以通过攻击与目标系统关联的第三方系统,间接实现攻击。如从电商网站或外卖平台盗取相关支付信息,或攻击电信营业商的短信服务系统获取验证口令,再利用这些信息攻击目标系统。

2.2.3. 迭代快

随着《网络安全法》等法规出台,以及各方对网络安全问题日益重视,金融网络安全保障能力有大幅提升。但攻击者也在不断分析研究新的漏洞和缺陷,优化攻击工具和策略,因此防范难度也在提升。

2.3.金融网络攻击的趋势

2.3.1.频增量升

网络的普及使得网络攻击的技术和工具迅速扩散,降低了攻击门槛,使金融系统受攻击的频次显著增长。

2.3.2. 目标集中

网络攻击的重点开始从终端客户转向大型金融机构、金融网络基础设施等核心目标。而网银、移动支付、扫码支付等新型支付方式因普及程度高,也成为重点攻击对象。

2.3.3. 日趋复杂

高级持续性威胁攻击(Advanced Persistent Threat) 近年來日益频繁,木马在系统中长期潜伏,充分收集信息、全面掌握运行规律后才发动攻击,造成的损害较传统方式更大。

3.金融网络攻击给金融行业带来的新问题

3.1.威胁金融稳定

3.1.1削弱用户信心

金融体系无信不立,其安全性是便利性的前提。网络攻击导致财产受损案件频发,必然导致客户“用脚投票”,从而严重影响金融运行效率和业务创新。

3.1.2危害金融机构

金融体系被攻击,金融机构将面临多重损失 —— 危机处置导致成本上升、业务停摆造成收益下降、声誉受损、评级下调、士气低落、客户流失、法律纠纷等。

3.1.3负面效应传导

金融与网络不断融合,金融体系联系日趋紧密,结构日趋复杂。某一环节遭遇攻击,损失会波及关联方,甚至引发系统风险,严重破坏金融和经济活动的正常开展。

3.2.带来全新挑战

金融网络空间的攻防始终是一对不断进化的矛盾体,不断对金融网络安全提出新挑战。

3.2.1敏捷响应

针对既有网络攻击和自身暴露的风险,划定网络攻击防护等级及相应安全措施,合理调配资源,确保安全策略执行,有效应对并迅速排除风险,保证安全内控机制灵活敏捷。

3.2.2全面管控

对与生产系统安全紧密相关的环节全面管控,保证业务条线和业务人员切实履责,提升整体安保水平。

3.2.3可靠测试

除基础安检外,对关键环节定期开展全面测评,及时锁定并修复漏洞。

4.防范金融网络攻击的常见做法

4.1.提升风险意识

2007年金融危机以来,世界主要国家的金融监管机构在处理既有问题的同时,也高度关注包括网络攻击风险在内的其他风险,防范爆发新的危机。

4.2.建立应对框架

网络攻击路径广、方式多、迭代快,世界主要国家的金融监管部门和金融机构尝试打破原有制度局限,建立弹性网络安全保障框架,优化金融系统的防护弹性和恢复弹性,增强应对重大攻击的能力。

英格兰银行官员Andrew Gracie在2015年英国金融服务网络安全峰会上提出的应对框架[2]包括以下3点。

4.2.1防御能力

网络安全除技术能力外,人的潜在弱点也常成为攻击的切入点,金融机构必须加大人员培训投入。定期开展CBEST(Controlled,Bespoke,Intelligence-led Cyber Security Test)测试,基于全面威胁情报,分析可能的攻击方法和场景,设计测试流程,对金融关键系统和服务进行测试,以确定防护、检测及响应网络攻击的能力。

4.2.2恢复能力

常规的主、备系统关联紧密,技术上高度一致,一旦主站被攻破,灾备站点也岌岌可危。为保障攻击发生后快速恢复,确保业务连续性,主、备系统需要足够的隔离。

4.2.3有效治理

董事会应将网络风险作为金融机构的核心策略对待,并敦促管理层采取必要措施保证网络弹性。

4.3.完善法律法规

目前世界主要国家已形成较完善的法律体系。美国已颁布的法律法规包括:《统一商法典》的4A 篇(U.C.C. -ARTICLE 4A- FUNDS TRANSFER)、联邦《电子资金划拨法》(Electronic Fund Transfer Act)及联邦储备系统理事会颁布的E 条例(Regulation E)、《借贷诚实法》(Truth in Lending Act)等。欧盟则于2015年12月通过了《一般数据保护条例》(General Data Protection Regulation),明确了涉及个人数据的保护和监管原则。

4.4.开展国际合作

積极开展国际合作是打击跨国金融网络攻击的有效途径。2016 年10月,G7达成一项加强金融业网络安全合作的协议(Cybersecurity Guidelines)。该协议建立了一系列旨在加强金融基础设施、打击网络攻击以及协调减轻网络攻击影响的快速反应系统的共同战略。并建立了适当的治理机制、风险评估和恢复机制,将网络安全纳入风险管理范畴。

5.中国应对金融网络攻击的思考和建议

5.1.多级协同防控

5.1.1. 金融机构内部

将防范网络攻击纳入操作风险管理范畴,强化技术管理,落实部门责任。实现系统运维、风险控制和安全审计间的协同,职责明确、监督有力;培养网安专门人才与提升全员网安责任意识并举。

5.1.2.金融机构之间

监管部门、金融机构与行业协会间增强信息共享,全面掌握行业网络安全整体态势,动态调整风险治理措施,确保金融稳定。

5.1.3.跨行业跨部门

立足国家网络安全战略高度,与电力、通信等保障部门密切配合,实现对金融网络安全事件联合应急处置。与网信、公安、工信等执法部门信息互通,共同防范打击金融网络攻击。对系统供应商和运维机构精细化管理,从物理层面有效防范网络攻击。开展产学研合作,引入先进技术理念,不断提升安保能力。

5.2.加强主动防御

5.2.1.金融网络安全态势感知

借助大数据和AI技术,建立金融行业网安态势感知平台[3-4],对异常事件及时发现、告警。做到金融网络安全可见、可控、可防,事前可预判、事中能防护、事后易追踪。

5.2.2. 金融网络攻击模拟测试

参照CBEST模式,定期组织重要金融机构开展模拟攻击测试,主动、及时发现和修补系统安全漏洞。

5.2.3. 金融网络安全自主可控

按照《中华人民共和国网络安全法》和国家网络安全审查制度,制定金融业网络安全审查方案,对进入金融体系的重要软硬件产品及厂商进行安全审查,保障产品安全可控,并积极推进上述产品的国产化替代,从根本上保障金融系统自主可控。

5.2.4. 提升防范意识防范能力

结合“网络安全宣传周”“429首都网络安全日”等活动进行主题宣传,提醒金融消费者做好安全防护,谨慎交易,提升防范意识和技能。

5.2.5. 金融网络异构灾备系统

建立金融网络灾备技术标准,并据此对金融机构现有主备站点进行异构改造,实现主备站点软硬件差异化配置,确保主备系统同步遭受攻击时,备份系统及时恢复至规定的服务水平。

5.3.完善保护机制

5.3.1. 健全法律法规

当前涉及电子支付和个人金融信息保护的法律法规虽在相关法律中有所涉及,但内容分散,无法有效解决法律纠纷中的新问题。应借鉴既有立法经验,结合实际,健全该领域的法律体系[5]。

5.3.2. 加强监管核查

按照《国务院办公厅关于加强金融消费者权益保护工作的指导意见》4的要求,指导督促金融机构妥善设立投诉受理渠道,对由网络攻击引发的投诉,查清事实,分清责任,妥善处理,切实维护金融消费者的权益[6-7]。

5.3.3.发展网安保险

国内网络安全保险市场刚刚起步,前景广阔。发展针对关联方风险的保险产品,鼓励金融机构对受托资产投保,可有效减少因网络攻击给金融机构和消费者带来的损失。

参考文献

[1]2018-2019年度金融科技安全分析报告[EB/OL].https://www.pwccn.com/zh/issues/cybersecurity-and-data-privacy/2018-2019-fintech-cyber-security-report.pdf.

[2]Andrew Gracie: Cyber in context [EB/OL].(2015-07-02).https://www.bis.org/review/r150810a.htm.

[3] 管忆军.基于大数据的基层央行网络安全态势感知平台架构的探讨[J].金融科技时代,2019(10):35-37.

[4] 廖渊,李北川.基于金融行业支付场景的安全态势感知模型研究[J].信息安全研究,2020,6(3):235-243.

[5] 顾雷.我国个人金融信息的保护要义与监管建议[J].清华金融评论,2020(12):97-98.

[6] 张明春.数字时代背景下基层金融消费者权益保护问题探析[J].金融科技时代,2020,28(3):78-82.

[7] 赵帅.典型案例对网络安全保险发展的启示——以美国科洛尼尔公司网络勒索事件为例[J].中国保险,2021(8):41-45.

猜你喜欢
金融科技防范对策
数字智能时代的供应链金融
金融科技发展对保险行业的影响研究
百度金融成立国内首家“金融科技”学院
儿科护理细节中引起护理纠纷的原因与防范对策
油田企业存在的财务风险与防范对策
浅析第三方支付平台的潜在洗钱风险
宁夏平罗县城乡居民信用信息服务平台建设的实践与思考
浅谈金融科技与金融创新的关系