中國金融認證中心(CFCA)總經理 季小杰
和訊網消息 6月3日~4日,由清華大學主辦,清華大學五道口金融學院和清華大學國家金融研究院共同承辦的2017清華五道口全球金融論壇在京舉行,本屆論壇的主題為“經濟全球化與金融業規範發展”。中國金融認證中心(CFCA)總經理季小杰出席會議並表示,新技術催生了新型的金融創新和普惠金融實踐,但新興業務模式、服務創新下卻隱藏著不少安全風險。她指出,要想使普惠金融走得更穩健、走得更遠,信息安全仍然是基石。
季小杰認為,近年來,得益於生物識別技術、互聯網技術、大數據技術、人工智能等技術的發展和成熟,我國掀起了一波又一波的關於互聯網金融、普惠金融實踐的浪潮。
季小杰同時也指出,在這些新興的業務模式、服務創新下卻隱藏著不少安全風險。她舉例說,電信詐騙屢禁不止,僅2016年的涉案金額達到了197.8億;每年境內的釣魚網站達20萬左右個,防不勝防;近一年來,個人信息洩露等遭受的經濟損失人均133元;網絡借貸違約找不到真實的借款人,或者借款人拒絕認可借貸事實,難以追償償。近期肆虐的比特幣勒索病毒更是在轉眼間擴散至上百個國家,破壞力之大世所罕見。
季小杰認為這類風險事件有,手段高科技化、金融詐騙產業化(電信詐騙分工合作、犯罪已形成上下游產業鏈)、資金流轉速度快、作案地區跨度大(跨行業、跨國界)、給用戶造成的損失大等多個方面的特點。所以,要想使普惠金融走得更穩健、走得更遠,信息安全仍然是基石。
以下為季小杰部分發言實錄:
下面,我就從幾個方面來談一下我對這方面的看法。
第一,關於用戶身份精準識別和認證的問題。
核實用戶的真實身份是所有金融活動的前提和基礎。一方面任何國家和地區的監管部門都有一個共同的監管原則,就是要了解你的客戶。另一方面金融機構自身也需要針對不同用戶類型提供差異化的服務,需要精準的識別用戶身份。目前認證手段很多,比如說人臉、聲聞、口令等等。在現有階段下,除了數字證書之外,其他單一要素進行身份認證都有一定的問題。今年“3·15”晚會上也報道過人臉識別的風險案例。
2017年美國總統大選的時候,希拉里和助手使用的郵箱系統由於只使用了用戶名和口令,沒有選擇其他的認證手段,導致了郵件洩漏。如果當時加強身份驗證,也許今天美國的歷史就會改寫。
在這方面人民銀行也是非常重視賬戶實名認證的落實問題,也出臺了一系列相關的制度和辦法。我們認為在現有條件下,立體、多維度地認證體系是實現線上業務身份識別和驗證的有效手段。目前CFCA已經和很多的機構合作,建立了基於數字證書、生物識別和大數據在內的統一身份認證平臺,可以滿足不同場景的身份認證需求。
第二,關於保證交易的完整性和合法性。
近年來互聯網和移動互聯網極大促進了普惠金融的發展,但是目前也有兩個亟待解決的問題。
1、如何保證參與方相關權力。
2、仍然缺失有效的線上證據保全機制。
若想解決上述這兩個問題,我認為可以從以下三個方面著手。
1、我國2005年頒佈了《電子簽名法》以來,電子簽名已經得到了廣泛的應用,使用公正的第三方認證機構所頒發的數字證書,可以實現線上的身份認證電子簽名,從而保障交易的合法性、不可否認性以及防止信息被篡改。
2、為了進一步提升客戶體驗,應使用基於數字簽名技術的無紙化解決方案,來實現電子合同的簽署和應用。在合同簽署過程中,可以實現人與合同的綁定,人與業務的綁定,業務與合同的綁定,同而可以形成可信度高、可追溯的無紙化憑證要件,提高了效率,同時可以充分保障電子合同的合法性。
3、建立合同簽署的時後保全服務體系。主要的目的是及時地對關鍵的業務數據、關鍵交易行為進行第三方的鑑定、採集和證據凍結和保全,同時通過權威的第三方同步到我國權威的司法鑑定機構的信息系統中,從而塑造高司法強化的業務運營效果。
第三,加強信息系統的安全管理問題。
現在有5.65億臺主機接入互聯網,據預測2020年的時候將會有500億臺設備接入互聯網。這些互聯網系統會極大的提高效率,但是同時也帶來數據隱私和安全風險問題。比如說現在很多的主機系統都以明文的協議和方式提供服務,這樣用戶名和口令很容易在數據傳輸的過程中被劫持。為解決這個問題,國際非營利組織CAB建議安全級別高的主機站點應採用EVSSL證書來進行保護。Google也已經宣佈在今年10月份左右將沒有使用SS證書的站點被標註為不安全站點。目前是國內唯一一家可以發放支持國際所有主流瀏覽器可信站點證書的CA機構。
安全的管理應該是多維度的,除了數據傳輸的安全外,系統本身的安全缺陷也可能導致信息被偷或者是本身被劫持。比如說最近在新加坡電信公司遭受了攻擊,主機包括一些攝像頭被劫持,導致網絡癱瘓了兩個多小時。所以定期的信息安全系統檢測是必須的,能夠儘早地發現安全問題,做到防患於未然。
第四,建立共享機制,聯防聯控安全風險。
互聯網業務速度得到極大提高的同時,也給犯罪分子提供了便利,他們利用各個系統的信息孤島,在很短的時間內完成錢財的轉移,單點的防禦已經很難適應目前現實的一些情況。所以我們建議儘可能大範圍地打破行業壁壘,打通數據孤島,建立高效的聯網系統,實現信息共享,做到異常交易及時報警。
金融主管部門也非常重視經濟詐騙問題,比如說人民銀行170號文就要求銀行和支付機構接入電信詐騙風險管理平臺,實現了涉案賬號在線的支付凍結。加強了部委間的聯動,已經取得了比較好的效果。
總之,在科技驅動的普惠金融時代,金融服務不斷創新的同時,安全風險也不斷增加。作為我國金融領域信息安全的重要基礎設施和金融領域信息安全的風控隊伍,CFCA願意和各界一道,為普惠金融保駕護航,讓金融真正地觸達普惠。
謝謝!
相關推薦
