互聯網金融平臺本身屬于一種創造性的金融業態或產品,原有的金融風險一樣沒有少,還增加了更多的專業風險。在快速發展過程中,金融風險與金融安全疑問越來越突出。
互聯網金融安全不僅是專業疑問,更是控制疑問。互聯網金融平臺要從事前、事中和事后三個方面進行完善,監管者也應該創建相應的評價機制
2024年5月18日,環球最大黑客組織匿名者(Anonymous)偷襲希臘央行之后,宣稱長達30天的DDoS進攻開始。跟著塞浦路斯央行、荷蘭央行、馬爾代夫央行等眾多官網站點被DDoS進攻癱瘓,其他各國金融機構紛飛拉響抗DDoS警報。依據該黑客組織公布的進攻名單,中國人民銀行也赫然在列。
然而,正深受DDoS進攻之擾的金融機構并非僅限于此,互聯網金融行業也許正在成為最大的受害者——螞線上娛樂城換現金蟻金融、網貸之家等多家P2P平臺或第三方信息服務平臺接連遭到黑客進攻。
本年上半年,全國金融行業(含互聯網金融)安全漏洞總量同比增長1819%。相關人士表示,現在互聯網金融行業存在很大的安全隱患,客戶信息泄露、支付漏洞、惡意進攻等為云平臺的遍及帶來了新的恐嚇。
“中國P2P網貸成為網絡安全的重災區。”中心財經大學金融學院教授郭田勇在接納《法制日報》采訪時說。
P2P創業者遭敲詐
相見地點,秦浩云選擇了一家社區醫院的中醫病房。頭、肩膀插滿針灸,嘴里談論著互聯網創業、黑客進攻。這樣的采訪履歷,對于來說,也算是新鮮。
對于如此選擇,秦浩云也盡是無奈。作財神娛樂城博弈風險為互聯澳門新葡京娛樂城ptt網金融行業的青年創業者,秦浩云正履歷創業以來最大的逆境——持續兩次被黑客進攻,“說是進攻,還不如說是敲詐”。
幾天前,秦浩云的平臺受到第一次進攻,隨后客服接收黑客的勒索,數量不多,1000元。
在秦浩云提供的聊天截圖中,看到,黑客開門見山,“我們封了你們的網站”“告訴老板聯系我”,并附上了聯系。
第一次被進攻,摸不清狀況的秦浩云“知足”了黑客勒索敲詐的前提。緊接著第二天,他又接收黑客的勒索前提:
“受伴同業雇傭封你們的網站”——途經一晚上的了解,心里有譜的秦浩云知道,這是絕大多數黑客的慣用說法,真假不得而知;
“受保衛網站安全運行費,每月1000元”——黑客團隊表示只要交錢,將不再進攻,縱然遇到其他黑客進攻,也有他們“擺平”。
交還是不交?交,會不會成為無底洞;不交,網站垮掉怎麼辦,更主要的是客戶資金安全。
在告急磋商之后,秦浩云的團隊高價請人加固了網站防護措施,臨時化解這場危機。
在秦浩云看來,這些履歷說起來輕描淡寫,但幾天下來,他已經瀕臨垮掉。“有的平臺被勒索走了七八萬元,而且黑客侵襲的不單單是那些實力弱小的P2P平臺,連某些防護才幹一流的平臺也被進攻過。扎完針灸,我要立刻和團隊商量防護升級,不能再有下次了”。
作為互聯網金融平臺的青年創業者,履歷過此輪“歷練”,秦浩云熟悉到,互聯網金融平臺最大的成本不是平臺的運營成本,也不是獲取客戶的支出成本,更不是企業監管上的投入成本,而是作為互聯網金融這個特殊行業的平臺聲譽成本。
曾有業內專家這樣評析,互聯網金融網站作為聲譽呈現的首先平臺,假如由於網站信息泄露、宕機、頁面篡改等理由導致用戶信任喪失,那麼平臺也就丟失了本身的聲譽,成為無源之水。再精妙的運營安排、再強盛的運營投入也于事無補。因此,作為互聯網金融企業,決不能讓安全專業成為業務發展的絆腳石。
“互聯網金融平臺本身屬于一種創造性的金融業態或產品,將金融與科技進行了結合。但假如從安全的角度看,互聯網金融的風險肯定加倍復雜和多樣,至少原有的金融風險一樣沒有少,還增加了更多的專業風險可能。互聯網金融起步于民營企業,來歷于金融創造,在快速發展過程中,金融風險與金融安全疑問越來越突出。”中國社科院金融所法與金融室副主任尹振濤對《法制日報》說。
黑客進攻成最大隱患
互聯網企業那麼多,黑客為啥這麼喜愛P2P?對此,曾有人作出這樣的比方:假如你看著一個三歲娃娃抱著一箱錢走在街上,你不想搶啊?
“互聯網黑客等惡意進攻疑問一直陪伴著互聯網專業的發展,這與互聯網專業本身有關,并不是互聯網金融或者說是中國特有的。在國際上,有許多有關黑客惡意進攻國際著名機構的案例。”尹振濤向介紹說,從內地場合看,現在存在兩種傾向,一種是尋找漏洞進攻內地著名的大平臺,用敲詐手段獲得非法的長處。大機構一般會不亂投資者情緒,避免事件擴散及信譽受損等,平息事件。另一種是黑客直接進攻安全防范不健全的小平臺,直接進攻其支付渠道等,竊取資金。
黑客進攻第三方支付平臺的手段多是流量進攻,重要動機是導致用戶無法正常拜訪。而流量進攻無法從基本辦理,只能通過流量清洗、加大帶寬來應對。
然而,流量清洗及防護的代價并不便宜。曾有P2P平臺受進攻后,3個小時的DDoS防護就花了16萬元。據了解,以某公司的云盾DDoS防護為例,保底包月費用相近4萬元,按天的彈性付費依據進攻流量的差異,代價從不到兩千元至兩萬余元不等,具體的收費總額還要看防護場合而定。
正是基于被進攻公司不舍得費錢的心態,黑客經常開出數萬元至數百萬元不等的敲詐金額。
據查訪統計,黑客進攻互聯網金融平臺的目的重要為盜取數據,占比高達48%,其次為勒索敲詐和商務競爭。
秦浩云向介紹說,大量互聯網金融平臺被黑客攻陷,黑客進攻除能引起系統癱瘓外,還將數據惡意改動、洗劫一空;黑客通過申請賬號、篡改數據、假冒投資人進行惡意提現甚至資金被盜事件也曾發作。
依據中國權威第三方漏洞監測平臺烏云網從2024年至2024年8月對P2P行業漏洞數目統計顯示,高危漏洞占562%,中危漏洞占234%,低危漏洞占123%,此中81%被廠商輕忽。除了系統安全漏洞,黑客進攻專業的升級仍然是網絡安全最大的隱患。
“黑客尋找漏洞進攻內地著名大平臺,重要與互聯網專業本身相關,即就是大平臺,投入再大的人力物力研發系統,也同樣會存在不可預知的漏洞。由於,專業總歸是人設計的。這只能通過專業的連續不斷迭代去補救漏洞。”尹振濤向解析說,針對安全防范不健全的小平臺,則是由於在互聯網野蠻生長過程中,埋下了風險隱患,“那些對專業投入小,不珍視金融安全風險的平臺,受惡意進攻場合就會很突出。同時,‘蒼蠅不叮無縫的蛋’,這些平臺可能也存在著這樣或那樣的‘不可告人的秘密’,也給不法分子留下了時機”。
有業內人士介紹,有些平臺直接在網上買入較為廉價、安全性缺乏保障的網貸系統,這樣的平臺在安全局勢尤為緊張的互聯網金融領域,無異于“裸奔”,平臺安全岌岌可危。
對此,尹振濤透露說:“據我所知,一套這樣的網貸系統市場價在20萬元左右,這些系統存在大批風險漏洞。之前,也存在一個公司開闢的網貸平臺系統遭受進攻,多家採用的平臺受陰礙的風險事件。重要理由在于,許多小平臺風險意識稀薄,只考慮如何做大規模、如何賺取利潤。同時,網貸平臺本身也有控制層結構疑問。在這些小平臺,懂專業的不懂金融,懂金融知識的不懂網絡專業。”
中心財經大學金融法研究所所長黃震也向介紹了這樣的場合:“有一些平臺確切是考慮不周,他們依照產業代價買入他人的軟件,或者由專業并不強的公司替他們開闢所謂的軟件或在他人的軟件上修改動改而已。”
安全如何不再是痛點
監管,是互聯網金融發展繞不開的話題。
黃震向介紹說,對于上述提到的買入廉價專業、安全意識不強的平臺,現在沒有相關監管,“此前有文線上娛樂城賭博攻略件對這些P2P平臺提出批駁,但具體怎麼管,具體的政策還沒有出臺”。
中心財經大學信息學院院長、金融信息安全研究所所長朱建明以為,安全是一個整體,互聯網安全措施的等級要與商務價值相一致。互聯網金融安全不僅是專業疑問,更是控制疑問。不僅包含有一般的安全疑問,更包含有業務安全疑問。當前行業的普遍觀點是,云算計的負載資本才幹以及創建在虛擬化平臺上的安全設施和安全控制網站有很大優勢,大數據安全應該是互聯網金融公司安全疑問的重中之重。
在尹振濤看來,P2P平臺、監管者以及投資者應各盡其責:
對平臺來說,互聯網金融安全風險,特別是專業風險疑問財神娛樂城遊戲種類,這是不可回避的。要從事前、事中和事后三個方面進行完善。事前要珍視金融風險和安全疑問,投入人力、物力進行防范。事中要有監控手段和想法及相應的機制。事后要有處置預案、賠償機制設計等,盡量減少損失,減低毀壞率;
跟著互聯網金融治理的連續不斷深入,天然會剔除那些專業落后和不康健的小平臺,這對整個行業的風險程度會有很好的提拔。針對互聯網金融特有的性質,監管方面也應該有檢測的規章制度,或者互聯網金融協會主導或其他第三方評估機制主導的評價機制。當然,在實施過程中,也應該避免出現“賣認證”的疑問;
投資者作出選擇時,應該盡量選擇可信的大平臺,自己增強風險防范意識,特別是互聯網專業和挪動互聯安全疑問。
郭田勇則提出要提高從業人員的業務審查才幹。
黃震也提出了雷同觀點:“依照目前已有的法律律例的尺度,對于提供軟件和網絡服務的服務商嚴格審查,這是現有的服務要求。”
此外,黃震發起,P2P平臺可以通過各行業協會提出安全保障要求,“在未來國家正式的監管部分成立后,在監管時可以提出要求,這是可以逐步實施的想法和路徑。大數據時代,數據涉及到個人信息越來越多,需要加強安全保衛,數據安全要求規范立法的呼聲會越來越高,這是可以懂得的,這方面的法律幾乎相近空缺狀態,每個人都感到沒有安全感、有被偷看的感到。這方面應先從公司的自律開始,逐步創建行業的尺度和規范”。
