P2P平台客户资料打包价95万 互联网金融信息安全现状堪忧

xman

8月19日，移动互联网系统与应用安全国家工程实验室发布了《移动互联网金融APP信息安全现状白皮书》。参与白皮书撰写的作者朱易翔说到：”测试发现，参与测试的大部分APP均存在加密算法误用、加密协议实现不正确、不完整的情况，并且在保护用户的交易信息、防止交易被篡改、防止用户身份被盗用方面表现不佳。”
　　这样的测试结果并不让人意外，据笔者对互联网金融领域的了解，很多一线平台在技术上投入不够，管理层对信息安全重视严重不足。中小平台在安全技术上更加薄弱，很多都是购买通用开源代码模板或者外包。互联网金融业漠视信息安全的现状埋下了众多隐患。而我国的互联网金融产业经过3年的迅速增长，覆盖面已经很广。
　　麦肯锡公司在其发布的《中国银行业创新系列报告》中称：2015年底，中国互联网金融的市场规模达到12-15万亿元，占GDP的近20%。互联网金融用户人数已经超过5亿，这样庞大的用户群和涉及面，如果信息安全事件愈演愈烈甚至失控，将会对国家和社会造成不可估量的损失。互联网金融信息安全已经刻不容缓。
　　互联网金融行业的监管者，无疑是解决信息安全问题的关键。2015年7月，由央行[微博]牵头，联合9部委联合公布《关于促进互联网金融健康发展的指导意见》中， 在20条指导意见中用第17条整专门强调网络与信息安全：“从业机构应当切实提升技术安全水平，妥善保管客户资料和交易信息，不得非法买卖、泄露客户个人信息。人民银行[微博]、银监会、证监会[微博]、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管，并制定相关监管细则和技术安全标准”。
　　2016年末有望加速出台的中国首部《网络安全法》，明确指出“网络运营者对其收集的公民个人信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。网络运营者应当采取技术措施和其他必要措施，确保公民个人信息安全，防止其收集的公民个人信息泄露、毁损、丢失。”
　　这样明确的立法显然没有刹住非法买卖泄露客户信息的歪风。 这个跟监管者没有下重拳真正严格执行不无关系。所谓“乱世用重典”，对于信息泄露的乱象，政府必须使用强硬的惩罚措施，杀鸡儆猴，以儆效尤，才能让从业者从根本上真正重视信息安全，才能让不法分子犯法之前三思而后行。美国政府对2008年金融风暴始作俑者的惩戒，堪称全世界“重典”的楷模。
　　金融风暴8年来，美国政府累计罚金达到惊人的1500亿美元，国际大行纷纷沦陷。就连没拿政府一分钱资助，靠自身实力挺过难关的德意志银行，最近也收到140亿美金的巨额罚单。近期全世界都担心她因巨额罚单而像雷曼一样轰然倒塌。在这样高压惩罚下，所有银行战战兢兢，不敢轻易越雷池一步。
　　信息安全和隐私保护是世界性难题，美国政府的做法可圈可点。任何人可以通过申请美国联邦贸易委员会(一个专门保护消费者的组织)的“不许打电话”(DoNotCall)的服务而免受电话骚扰。这服务从创立2003年到现在，有105起违规的企业受到惩罚，罚金累积7400万美元。也正是由于有这样的法规和执行力保护， 美国人的手机号很少改变，用一辈子都不罕见。而在国内由于烦人的骚扰电话，身边的不少朋友几年要换一次手机号。当然，中国的监管者也有“重拳出击”达到显赫效果的案例，比如治理酒驾。任何从海外回来的人， 都会纳闷， 为什么一向以不遵守规则的中国人，饭桌上谈到酒驾就闻虎变色，变得循规蹈矩。这都要归功于公安部采用的，从外国人角度来看几近苛刻的，查处酒驾治理方法。
　　酒驾和个人信息泄露，前者是烈性毒药，车祸的后果害人害己，人命关天，引起高度重视； 后者是慢性毒药，在社会蔓延开来一点点毒害人民财产权隐私权，积累到最后出了人命，爆发出类似“徐玉玉”的事件，才引起关注和重视。 不知道需要多少个“徐玉玉”才能让监管真正花大力治理？靠人命来推动立法的真正执行，这样的代价值得吗？难道不能一开始就避免吗？
　　互联网金融信息安全标准的缺失，也是企业不作为的原因之一。 很多企业有实力也有意愿， 却苦于没有一套公认的标准来参照和衡量 。政府应该引导参与各方，尽快出台信息安全标准。这不仅让企业有标准可以依，也能帮助监管机构评估企业风险，批准企业注册，决定惩罚程度等等。 可喜的是，在笔者9月份拜访央行，参加中国互联网金融协会的一次闭门座谈会上， 李东荣会长和陆书春秘书长多次提到协会高度关注信息安全并致力于推动行业的标准。期待这一标准能尽快出台。
　　作为互联网金融的主体，企业保护信息安全责无旁贷。互联网金融企业在信息安全保护上，远远不够。目前互联网金融企业，没有多少企业是达到银行信息安全及格线的。
　　比如笔者以前在华尔街投行上班，工作用电脑光盘和USB是被技术限制无法使用的，装任何软件都要技术部门评估批准， 即时通讯软件是内部专用而不是微信QQ等外部软件，私人电脑是不允许存任何工作资料，要在家里工作只能经过繁琐的硬件和软件密码远程连上公司内部电脑，需要给外部发邮件若含有附件数据，是必须加密且只能发给非私人邮箱。
　　有一次笔者发附件给客户群，其中一个客户使用个人邮箱，发信后技术部门立即电话来了，要求笔者解释，否则该邮件将被拦截。
　　当然，以国际投行的信息安全标准要求也许过高，但是互联网金融公司既然是用技术从事金融活动，基本的金融信息安全还是必须达标的。这里银行的很多做法可以参考，比如管理层的重视，资金人才和安全系统的投入，内部流程的管控，信息的加密和使用的隔离，人员的培训等。还可以借助第三方监测机构，主动对系统的信息安全性进行全方位的考核和监督。
　　最后，互联网金融企业在遭受信息盗用的时候，有义务按规定通知受害的用户，披露给监管单位，而不能遮遮掩掩，用钱私了。这样不仅违反信息披露法规，损害客户的利益，而且也助长了不法分子的嚣张势头。
　　个人在信息安全保护里是最无助的受害者，但却也不是只能束手待毙。为了维护每个人的切身利益，我们应该有更多人挺身而出，积极行使人民当家做主的权利，让各级人大代表向政府传达我们的强烈保护信息安全的呼声。 同时我们作为客户还可以用脚投票，坚决不成为不重视信息保护的企业的客户。 最后，我们要敢于和不法分子做斗争，遇到不法分子和企业盗用贩卖信息，不仅不参与，还要检举揭发，惩恶扬善，尽自己一点微薄的力量。
　　在互联网金融的资金安全已经被重视，信息安全也应该逐步完善规范和有效执行。 监管机关，互联网金融企业，第三方机构和个人，只有所有参与者齐心协力，才能赢得互联网金融信息安全这场战争。
　　(本文作者介绍：互联网金融千人会联合创始人， 曾任联想控股旗下P2P翼龙贷副总裁，德意志银行（美国）战略科技部副总裁，注册金融分析师(CFA), 金融风险管理师(FRM)。)