互聯(lián)網(wǎng)金融的技術(shù)性安全

姬紅

近年來，金融業(yè)信息化程度不斷提高，對金融業(yè)的改革、發(fā)展、壯大發(fā)揮了重要的促進(jìn)作用。但同時(shí)，金融業(yè)對信息技術(shù)的依賴程度越來越大，尤其是近年來，互聯(lián)網(wǎng)應(yīng)用和電子商務(wù)的蓬勃發(fā)展掀起的變革浪潮，進(jìn)一步加大了信息安全風(fēng)險(xiǎn)的擴(kuò)散效應(yīng)，將中國金融安全問題更迫切地推到臺前，成為金融行業(yè)當(dāng)前必須面對的嚴(yán)峻考驗(yàn)。

1 互聯(lián)網(wǎng)金融危機(jī)頻發(fā)，敲響安全警鐘

近年來頻繁集中爆發(fā)的互聯(lián)網(wǎng)安全事件不僅應(yīng)驗(yàn)了業(yè)內(nèi)人士此前的憂慮，而且也給年輕的互聯(lián)網(wǎng)金融敲響了警鐘：

2014年春節(jié)前夕，拍拍貸、好貸網(wǎng)、火幣網(wǎng)等多家P2P網(wǎng)貸平臺遭黑客攻擊，平臺頁面無法打開，致使投資人無法登錄平臺投資和提現(xiàn)，平臺負(fù)責(zé)人隨后收到黑客幾千元至幾萬元不等的敲詐信息。

近期，多個(gè)P2P平臺陸續(xù)爆出問題，P2P網(wǎng)貸行業(yè)資訊門戶網(wǎng)貸之家、網(wǎng)貸天眼及第一網(wǎng)貸等平臺都遭受到了黑客攻擊。

此外，央行近期對虛擬信用支付和二維碼支付的叫停，也可以理解為，考慮到支付流程中的安全問題，比如虛擬信用支付中的本人確認(rèn)問題、材料真實(shí)性問題以及二維碼支付中的客戶信息安全問題，都已經(jīng)成為監(jiān)管機(jī)構(gòu)履行安全監(jiān)管職責(zé)的監(jiān)管地帶。

嚴(yán)峻的金融信息安全形勢，要求金融業(yè)切實(shí)采取措施，努力提高信息安全保障水平，堅(jiān)決打擊危害金融信息安全的犯罪活動。因此，清醒地看到當(dāng)前我國互聯(lián)網(wǎng)金融安全面臨的形勢，充分認(rèn)識金融安全工作的重要性，未雨綢繆，勇于應(yīng)對挑戰(zhàn)，對于我國的金融機(jī)構(gòu)來說尤其迫切。

2 互聯(lián)網(wǎng)金融危機(jī)呈現(xiàn)新特點(diǎn)，技術(shù)性風(fēng)險(xiǎn)上升

業(yè)內(nèi)普遍認(rèn)為，互聯(lián)網(wǎng)金融最大的成本不是平臺運(yùn)營成本，也不是客戶的獲取成本，更不是監(jiān)管上的投入成本，而是作為平臺本身的信譽(yù)成本，也就是常說的平臺信任度。一旦缺乏了信任度，客戶擠兌，資金流逝，平臺成為了無源之水，即便符合監(jiān)管標(biāo)準(zhǔn)，降低運(yùn)營成本也無濟(jì)于事。

從用戶角度出發(fā)，選擇一個(gè)安全、審慎的平臺進(jìn)行理財(cái)、融資、投資是十分有必要的。傳統(tǒng)金融之所以沒能在金融互聯(lián)網(wǎng)化上有更多創(chuàng)新，一方面是監(jiān)管設(shè)限，另一方面也是考慮到平臺的安全性問題，在一個(gè)沒有良好的IT后臺支撐，沒有風(fēng)險(xiǎn)撥備和不良率控制的互聯(lián)網(wǎng)平臺，一旦遭遇平臺的信任風(fēng)險(xiǎn)，就將很難再次獲取客戶的信任?？蛻舻倪w移習(xí)慣需要一個(gè)長期培育的過程，這個(gè)過程在遭遇了風(fēng)險(xiǎn)和安全問題后，一般是不可逆的。

我們注意到，對于互聯(lián)網(wǎng)金融，監(jiān)管層的立場基本上是有條件的鼓勵和支持，即便是在今年的兩會期間，互聯(lián)網(wǎng)金融寫入了政府工作報(bào)告，但是潛臺詞是要風(fēng)險(xiǎn)可控。否則，一旦出現(xiàn)不可控的風(fēng)險(xiǎn)趨勢，監(jiān)管層必然會以保護(hù)投資者利益為由進(jìn)行更嚴(yán)格的準(zhǔn)入監(jiān)管。

從近期發(fā)生的互聯(lián)網(wǎng)金融安全危機(jī)來看，中國的互聯(lián)網(wǎng)金融業(yè)已經(jīng)進(jìn)入了風(fēng)險(xiǎn)的第二階段，因?yàn)榧夹g(shù)力量的不足，在互聯(lián)網(wǎng)非法攻擊面前，平臺的抵御能力和用戶資金、信息的保護(hù)能力正逐步陷入捉襟見肘的窘境。

2014年，互聯(lián)網(wǎng)金融通過概念和收益的引領(lǐng)，開創(chuàng)了互聯(lián)網(wǎng)金融元年的新時(shí)期，也成為金融新趨勢的代名詞。在這個(gè)初創(chuàng)階段，互聯(lián)網(wǎng)金融的平臺風(fēng)險(xiǎn)主要是集中在平臺的運(yùn)營風(fēng)險(xiǎn)和模式風(fēng)險(xiǎn)，也就是平臺自身的風(fēng)險(xiǎn)，比如部分p2p進(jìn)行自融、詐騙、頻繁債權(quán)轉(zhuǎn)讓等，在不規(guī)范、甚至違法的業(yè)務(wù)運(yùn)作中放大了平臺的運(yùn)營風(fēng)險(xiǎn)。

為此，央行、銀監(jiān)會以及相關(guān)部門在上海、深圳等地對互聯(lián)網(wǎng)金融開展了深度的調(diào)研，并成立了一些專業(yè)的互聯(lián)網(wǎng)金融協(xié)會，分享運(yùn)營模式經(jīng)驗(yàn)和風(fēng)險(xiǎn)，給當(dāng)時(shí)的不規(guī)范的互聯(lián)網(wǎng)金融打了一劑猛藥。在行業(yè)性風(fēng)險(xiǎn)的處理中，互聯(lián)網(wǎng)金融也逐漸形成了一些安全與風(fēng)控的基本原則，比如P2P行業(yè)的“點(diǎn)對點(diǎn)、數(shù)據(jù)征信、第三方”以及不搞自融，不建立資金池，不非法集資等。

那么近期爆發(fā)的互聯(lián)網(wǎng)金融安全危機(jī)，普遍呈現(xiàn)出哪些特點(diǎn)呢？從這一輪安全性風(fēng)險(xiǎn)的溯源來看，大多不是平臺的模式風(fēng)險(xiǎn)，而是外部的網(wǎng)絡(luò)安全性問題，也就是平臺在抵抗互聯(lián)網(wǎng)非法攻擊方面的抵御能力和用戶資金、信息的保護(hù)能力。從這個(gè)意義上而言，目前的互聯(lián)網(wǎng)金融是進(jìn)入了風(fēng)險(xiǎn)的第二個(gè)階段。如果說前一個(gè)風(fēng)險(xiǎn)是經(jīng)驗(yàn)上的不足導(dǎo)致的風(fēng)險(xiǎn)，這一個(gè)階段的風(fēng)險(xiǎn)就是技術(shù)上的不足導(dǎo)致的風(fēng)險(xiǎn)。

頻繁發(fā)生的安全危機(jī)無疑正在不斷推高互聯(lián)網(wǎng)金融成本。相關(guān)技術(shù)分析和輿論解讀普遍認(rèn)為，傳統(tǒng)金融的成本集中在線下的人力成本、物理店面成本以及復(fù)雜性較高的后臺IT成本；而成長初期的互聯(lián)網(wǎng)金融平臺，在安全性上的配套資源相對不那么充足，主要的成本在于平臺搭建成本和市場營銷成本。

我們注意到，隨著互聯(lián)網(wǎng)金融往縱深發(fā)展以及金融互聯(lián)網(wǎng)化的發(fā)展，互聯(lián)網(wǎng)金融和傳統(tǒng)金融的成本差距正呈現(xiàn)縮小的趨勢。

就互聯(lián)網(wǎng)金融而言，安全性問題在短期內(nèi)將成為一把達(dá)摩利斯之劍，為提高平臺的抗安全攻擊能力，除了在平臺流程和數(shù)據(jù)征信上加強(qiáng)完善外，互聯(lián)網(wǎng)金融平臺將不得不在安全性問題上投入更多的資源，包括設(shè)備配置、網(wǎng)絡(luò)維護(hù)、人員安排以及應(yīng)急處理機(jī)制。特別是對于部分中小P2P網(wǎng)貸平臺，資金實(shí)力本來有限，購買寬帶、使用防火墻，將耗費(fèi)巨額成本，往往難以控制風(fēng)險(xiǎn)。

在互聯(lián)網(wǎng)金融領(lǐng)域，特別是對于非專業(yè)IT公司出身的一般互聯(lián)網(wǎng)金融平臺，在互聯(lián)網(wǎng)安全問題上碰到危機(jī)可能性更大，短期內(nèi)也會加大平臺的運(yùn)營成本，甚至有覆蓋利潤的風(fēng)險(xiǎn)。所以，互聯(lián)網(wǎng)金融并非沒有成本，在很大程度上而言，中小平臺的運(yùn)營成本將會呈現(xiàn)更大的上升趨勢；不僅如此，技術(shù)性安全隱患更是風(fēng)控以外的另一個(gè)核心命題。

3 護(hù)航互聯(lián)網(wǎng)金融安全，規(guī)避技術(shù)風(fēng)險(xiǎn)的任重道遠(yuǎn)

我們認(rèn)為，互聯(lián)網(wǎng)金融并不是僅僅互聯(lián)網(wǎng)與金融簡單嫁接，他是互聯(lián)網(wǎng)利用現(xiàn)代信息技術(shù)對傳統(tǒng)金融業(yè)務(wù)方式重新組合捆綁提供的一種新的服務(wù)模式。金融安全的核心工作是風(fēng)險(xiǎn)管理，基于互聯(lián)網(wǎng)信息傳播的特殊性，互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)管理與控制是一項(xiàng)技術(shù)性和專業(yè)性很強(qiáng)的工作，對從事這項(xiàng)工作的團(tuán)隊(duì)及其人員的要求，有著比傳統(tǒng)金融更高的技能要求標(biāo)準(zhǔn)；而從國家金融安全的層面看，互聯(lián)網(wǎng)金融安全或?qū)⒂懈涌b密的頂層制度設(shè)計(jì)。

近日央行在互聯(lián)網(wǎng)金融監(jiān)管上的表述是：互聯(lián)網(wǎng)金融應(yīng)自擔(dān)風(fēng)險(xiǎn)，而不能轉(zhuǎn)嫁給社會；鼓勵充分競爭，反對壟斷。結(jié)合之前央行的表述，基本可以確定央行以及上層監(jiān)管的主要著力點(diǎn)在于平臺的風(fēng)險(xiǎn)控制，也就是將平臺的運(yùn)營模式和流程控制規(guī)范化，更多的是考慮模式上的風(fēng)險(xiǎn)，而不是安全、技術(shù)上的風(fēng)險(xiǎn)。

這段期間P2P集中爆發(fā)的平臺安全問題，將引起上層監(jiān)管的新一輪重視，繼風(fēng)控之后，平臺的安全問題和技術(shù)成熟問題也將被高度關(guān)注。此外，目前互聯(lián)網(wǎng)金融領(lǐng)域還沒有形成比較清晰的監(jiān)管分工，只是做了一些原則性的規(guī)定，比如央行監(jiān)管第三方支付，銀監(jiān)會監(jiān)管P2P，證監(jiān)會監(jiān)管在線理財(cái)?shù)?，但是缺乏?xì)化的落地監(jiān)管標(biāo)準(zhǔn)和細(xì)則，比如具體的準(zhǔn)入門檻，風(fēng)控標(biāo)準(zhǔn)，安全標(biāo)準(zhǔn)等。

監(jiān)管落后于具體業(yè)務(wù)，創(chuàng)新便不可避免，但在風(fēng)險(xiǎn)監(jiān)管和安全控制上的敏銳程度相對來說大于一般合規(guī)業(yè)務(wù)的監(jiān)管，因?yàn)楸O(jiān)管機(jī)構(gòu)的首要任務(wù)是避免風(fēng)險(xiǎn)，保證金融體系的穩(wěn)定、安全。由此可以預(yù)見，隨著互聯(lián)網(wǎng)金融的風(fēng)險(xiǎn)進(jìn)入第二階段，監(jiān)管層的監(jiān)管重點(diǎn)也有可能進(jìn)入以安全為名義的新一輪密集期。

[責(zé)任編輯：侯天宇]