近日,普华永道首次发布了《2018-2019年度金融科技安全分析报告》,全面聚焦金融科技安全中交易安全及数据安全领域的特点,普华永道风险与控制服务合伙人李睿女士解读了这个报告,并针对有关话题与媒体进行了交流。
(赵法彬/数字通信世界)金融与科技是两大不同的行业,科技一直助推金融行业的发展,金融也为科技的发展提供支持,而安全则是两者面对的共同挑战。近日,普华永道首次发布了《2018-2019年度金融科技安全分析报告》,全面聚焦金融科技安全中交易安全及数据安全领域的特点,普华永道风险与控制服务合伙人李睿女士解读了这个报告,并针对有关话题与媒体进行了交流。
普华永道风险与控制服务合伙人李睿女士
三方联手调研金融科技企业
2016年3月,全球金融治理的牵头机构——金融稳定理事会发布的《金融科技的描述与分析框架报告》首次在国际组织层面对金融科技作出了初步定义:金融科技是指通过技术手段推动金融创新,形成对金融市场、机构及金融服务产生重大影响的业务模式、技术应用以及流程和产品(FSB, 2016)。
《2018-2019年度金融科技安全分析报告》由普华永道联合中国信息通信研究院及平安金融安全研究院共同撰写,涉及各类金融科技企业,包括支付结算、存贷款与资本众筹、投资管理、市场设施等,并包含15%的传统金融企业,具有广泛的代表性。本次调研问卷由信通院、平安金融安全研究院、普华永道三方共同发起,共回收80份样本,主要涵盖金融科技行业,参与者主要为安全架构师、安全咨询师及安全工程师,占比33.8%,其余包括首席执行官、首席信息官、网络安全官、IT部门负责人、业务部门主管等。
调研发现,随着云计算、大数据、人工智能、区块链等信息技术在金融领域的逐渐推广及应用,金融科技正在以迅猛态势重塑金融行业生态。但同时大部分金融科技公司在过去12个月内面对来自监管、竞争及投资人审慎的态度方面的挑战,融资难度增大。
关于本次调研为何由三方共同发起,中国信息通信研究院是工信部直属科研单位,在行业发展的重大战略、规划、政策、标准和测试认证方面发挥了有力支撑作用,为中国通信也跨越式发展和信息技术产业创新壮大起到了重要推动作用。平安金融安全研究院则是业界首家综合性的金融安全研究及创新机构,在金融关键信息基础设施安全、金融科技安全、金融业务安全风控三方面持续创新实践,努力推动和引领国家网信事业发展。普华永道始终致力于以全面的网络安全解决方案帮助企业评估,构建和管理其网络安全,并能够对各种潜在威胁作出有效响应。
金融科技网络安全三大要素
普华永道认为,传统网络安全技术、网络安全管理模式、金融业原有的网络安全技术与管理模式,也必将发生变革,衍生出与金融科技行业业务属性及特点相吻合的金融科技特有的网络安全技术与网络安全管理模式。为此,普华永道定义了金融科技网络安全的三大关键要素:交易安全、数据安全、传统网络安全技术及安全管理。
针对上述三大关键要素,李睿进一步介绍说,一是针对交易安全领域,高达61%的被调研企业均使用“风控识别(反欺诈应用、风险动态监测、用户行为分析等)”技术来驱动金融业务,表明风控识别成为金融科技企业在交易安全领域的重点实施载体。
二是在本次调研分析中,数据安全在金融科技安全中被赋予了最多的关注。无论是已发生的安全事件比较集中在数据安全领域、未来计划增聘的网络安全专业人员主要集中在数据安全与个人保护领域,还是未来仍需加强的网络安全领域比例高达71%等,均体现出数据安全已经成为金融科技企业安全的关键领域及要素。
三是在前期普遍已投入资源部署传统网络安全技术及措施的背景下,传统网络安全技术及安全管理领域不存在影响金融科技企业总体安全性的决定因素。“抗DDoS”及“安全咨询服务(企业整体风险评估)”这两项传统网络安全技术及管理领域的服务,成为金融科技企业向外主要采购的网络安全服务(比例均达到47%);而在传统网络安全技术领域,“Web应用防火墙(WAF)”成为金融科技企业向外主要采购的网络安全技术工具(比例达到71%)。
金融科技安全建议与展望
针对金融科技网络安全三大关键要素,报告给出以下建议:一是在交易安全领域,除了进行内部信息分析,也要注意外界的情报分析。金融科技公司中的IT工程师熟悉网络安全,但是不熟悉业务安全,因此,需要公司内部团队协同合作。二是在数据安全领域,云上数据安全与隐私安全最受重视。金融科技公司一定要把上云的安全规划做好,把云安全作为一个重要的环境,哪些业务上云,哪些核心业务不能上云,一定要严格区分并且分步骤进行。同时,金融科技公司还必须兼顾海外与国内、过去与未来的监管,按照不同安全领域的要求与不同的人对接,自动化实现监管。三是在传统网络安全技术及安全管理领域,除了管控、日常监测,还要注意响应。通过本次调研发现,很多金融科技公司一旦发生安全事件很难定位问题出在哪里?因此,一定加强中间安全的监控,安全运营中心把业务数据等统一起来,做到及时预警。
金融科技企业普遍拥有大量的技术研发人员,精于研发符合自身业务特点及要求的应用系统及工具,但以上数字表明传统的安全技术工具仍然是属于“术业有专攻”的模式。即使是研发能力领先的金融科技企业,也仍然持续采购及使用外部专业公司的安全工具,未在安全工具自研领域投入更多的资源。
普华永道预计,数据安全在未来两年内持续成为金融科技行业、金融行业的网络安全工作重点,特别是在金融科技这一强监管行业,伴随《个人信息保护法》及《数据安全法》两部重要法律列入立法规划,切合时代需求和中国国情的数据监管法规必将进一步使得数据安全成为金融科技行业的工作重点。金融科技企业内部的安全团队将在未来两年均划分成为独立的网络安全及数据安全部门/团队。
李睿最后表示,金融科技的创新应用——伴随大数据、云计算、区块链/虚拟货币、虚拟银行、无人银行、人工智能、RegTech等众多金融科技应用基础技术及应用场景的出现,金融科技在未来两年将持续向传统金融领域渗透,出现更多的创新应用。我们一直认为网络安全与业务结合才有价值,所以,未来两年除数据安全以外,网络安全也将在区块链及人工智能领域(特别是人工隐私安全领域)持续得到行业关注及资源投入。