金融科技安全重在“防未然”

(资料图片)

经济日报记者 杨然

近年来全球云安全事件层出不穷，其中数据泄露的情况占多数，金融科技安全也成为业界关注的热点之一。近日，在2023金融保险科技安全运营高峰论坛上，专家表示，金融安全的发力点要从“堵漏洞”转向“防未然”。

“新技术是一把双刃剑，在推动金融业数字化转型加速的同时，也成了‘黑产’发展的助推器。比如数据滥用造成的隐私泄露、金融欺诈风险，以及当人工智能算法的模型设计不完善造成的贷款歧视、影响股权交易等现象。”中国信息通信研究院云计算与大数据研究所高级业务主管徐秀认为，虽然我国在金融业数字安全发展方面已经具备一定基础，但“头痛医头、脚痛医脚”的现象仍然很普遍，网络安全、数据安全、应用安全等多种安全防护模式尚未实现有机结合，需要协同联动以实现耦合式防御，还需要从顶层规划、技术、管理等维度进行体系化梳理。

保障安全永远是金融科技发展的生命线。未来如何坚持发展和安全并举、创新与规范并重，构建金融科技安全防火墙？专家建议：一是科学选择和应用相对成熟可控、稳定可靠的技术，着力提高对业务经营发展有重大影响的关键技术的自主研发能力，降低外部依赖，避免单一依赖。二是强化数字渠道安全，保障金融消费者权益。三是依法依规保护金融数据安全。四是不断加强外包合作安全。

聚焦保险行业，数字化转型同样带来诸多网络安全挑战。“大量个人隐私及资产信息等重要数据呈指数级上升，保险公司面临大量客户数据和保单信息的存储与处理，增加了数据泄露和数据安全的风险，保险公司需要采取有效措施以防止数据泄露、未经授权的访问或滥用。”全国保险标准化技术委员会原秘书长许彬表示，黑客、勒索软件和网络钓鱼等攻击手段不断进化，给保险公司的数据安全和业务运营带来风险。此外，很多中小保险公司通过信息科技外包的方式增强核心竞争力、降低运营成本，在短时间内获取前沿技术，但也带来了诸多风险，关键业务中断、源代码泄露、违规获取敏感数据等事件时有发生。

许彬建议，保险业在聚焦前沿技术、收获创新成果的同时，要时刻注重技术安全风险防范，以“风险可控”为底线，严格落实保险科技创新安全标准，根据发展需要，邀请专业化机构进行检测认证。新技术复杂性高、产品迭代快，对于中小保险机构，可以考虑开展新技术联合攻关，弥补人员技能储备不足的短板。同时，可以不断探索建设以金融基础设施运营管理机构为主体，建立行业公有云平台的可能性，实现行业数据资源安全、快速、有序流动。此外，保险公司还应高度重视网络安全的重要性，确保有足够的预算投资于网络安全技术和人员，包括入侵检测与防御系统、安全监控和网络安全专家等，以加强网络防御能力。

比亚迪财险有关负责人郭东海表示，公司的安全运维手段正从事后防范模式向模块化、体系化安全防护模式转变。“最初我们面临互联网上很多的应用场景，也不太好预知安全漏洞，基本上是靠每天人工24小时值班等待，一旦发现问题，全体人员加班，安全运营模式讲究快，但存在的问题是整个安全运维管理容易出现长期在原地打转的状况。而且，很多公司都没有独立的信息安全部门。”通过与北京华清信安科技有限公司合作落地的安全运营解决方案，公司解决了覆盖网络、业务、主机多层面的数据统一管理问题，形成企业安全数据联动响应机制，大幅提升了安全工作效率。郭东海表示，下一步将持续提升企业内部安全数据统一管理能力，实现高效安全的运营体系建设。

“面对日益复杂、智能、快速变异的网络威胁，传统安全厂商无论如何努力，都无法在特征库和规则库更新的速度上跑赢攻击方。最近几年新兴安全技术如雨后春笋般出现，但终归仍是单点能力或单一手段，要从本质上提升安全监护能力，做到主动防御，防患于未然。”对外经济贸易大学金融保险科技安全研究中心在此次论坛上发布的《金融保险行业云安全智能运营技术白皮书》提出，应以传统安全能力体系为基础，以大数据和人工智能机器人技术等新型威胁检测技术为核心，辅以自动化安全响应技术，建立威胁检测、感知、监控、预警、处置的体系化、持续性安全运营机制。可喜的是，以安全运营为核心的安全建设理念已经越来越受到业内重视，大部分企事业单位和政府机构已经或正在搭建安全运营体系。

关键词：