作者 中国农业银行科技与产品管理局副总经理 王怡
王怡
对于商业银行来说,数字化转型带来的既是机遇也是挑战。商业银行只要以积极的心态应对新问题,妥善平衡金融科技创新和网络安全风险管控之间的关系,就能够借助数字化浪潮再次扬帆起航,为全社会提供更加优质、高效和安全的金融服务。
面对滚滚而来的全球数字化浪潮,商业银行再一次站在自我变革的十字路口。为了应对宏观经济形势、市场竞争环境和客户需求的快速变化,商业银行必须通过数字化转型打造开放化、场景化、智能化的金融生态系统,以不断丰富金融产品、提高服务质量和降低边际成本,在面对激烈的同业竞争尤其是来自于互联网行业的挑战时,建立企业的核心竞争力,拓展生存空间。
与现代金融业历次变革一样,近年来金融科技的迅猛发展是此次数字化转型的发动机。云计算、大数据、人工智能、移动通信等一系列技术先后取得重大突破,并逐步应用到各种金融业务场景中。新技术在深刻改变金融服务和产品形态的同时,也给商业银行带来了新的网络安全问题。
党的十八大以来,中央从总体国家安全观出发,对加强国家网络安全工作做出了一系列重要部署。全面保障客户信息和资金安全,既是国家赋予各商业银行的责任和义务,也是商业银行赖以持续稳健经营的基石。因此,如何在日益严峻复杂的网络安全环境下守住安全底线和红线,为数字化转型战略的顺利实施提供可靠的安全保障,是各商业银行需要研究解决的课题。
一、数字化转型下商业银行网络安全形势分析
一直以来新技术的引入和应用都是一把双刃剑,在带给人们工作高效和生活便利的同时,网络安全风险也始终如影随形,并随着信息化发展阶段的不同而衍化。数字化转型也不例外,其带来的数据化、开放化、智能化、融合化等特点,可能引发新的网络安全风险。
1.数据化加剧了高价值资产保护压力
在数字化和万物互联的理念推动下,越来越多的高价值信息资产从线下转移到线上,为数据的积累创造了技术条件。近年来,各商业银行在充分认识到数据的重要价值后,逐步累积了海量的数据,成为了重要的信息资产之一。例如,农业银行存储的有效数据总量已经接近10PB,目前仍在加速累积。与此同时,这些数据经过加工处理和分析的结果存在一定的不确定性,但提升数据价值是重要目标之一。数据价值的提升可能衍生出新的商业价值,也可能会影响国家和社会稳定。例如某国一家健身应用软件服务商在互联网上公布了用户健身数据分析结果,意想不到的是此举涉嫌泄露国家军事机密。因此,无论是从“量”还是“质”上看,数字化转型会带来信息资产价值增值,客观上这些高价值资产也成为了攻击者觊觎的目标。
2.开放化导致了安全边界模糊问题
清晰定位边界是开展网络安全工作的前提条件,众多的安全保护措施都基于安全边界部署和实施。开放化要求商业银行与商业生态系统共享数据、算法、交易、流程和其他业务功能,而共享意味着商业银行的信息系统需要从过去的封闭状态逐步走向开放。因此,商业银行需要根据不同的开放模式重新审视和梳理安全职责边界和技术边界,并有针对性地调整防御部署。更重要的是,在某些场景下重新界定安全边界可能变得比较困难。例如,基于SDK的开放模式使得商业银行和第三方的应用深度绑定,难分彼此。如果连边界都无法清晰界定,传统的边界防御措施将面临失效的风险。
3.智能化引入了不可信任难题
传统的网络安全管理体系基于信任模型构建,从而达到响应合法用户、拒绝非法访问的目的。为了实现可信目标,往往要求信息系统的行为可观察、可验证、可确认、可恢复和可审计。但包括深度学习在内的多种人工智能算法,通过自我学习与迭代构建模型和规则,对于用户来说是并不透明的,我们无法准确解释产生结果的原因。根据美国、英国政府发布的《美国国家人工智能研究和发展战略计划》《人工智能对未来决策的机会和影响》等多份研究报告,目前还没有找到科学有效的方法对人工智能的决策过程进行追踪和解释,也无法在系统出现异常情况时诊断和修复故障。对于业务连续性要求极高的商业银行来说,这可能会成为应用人工智能技术的重要障碍。
4.融合化带来了引发系统性风险的可能
数字化经济社会的基本特征就是互联互通,银行数字化转型本质上也是为了构建相互融合的共赢生态。所谓的融合发生在监管与银行之间、银行同业之间,乃至银行与非银行金融机构之间、银行与技术企业之间。在融合的过程中,如果不能做到风险有效隔离,则可能出现单点网络安全问题迅速传导到整个链条的各个环节,从而全面引发全行业甚至是跨越多个行业的系统性风险。例如,苹果公司发布的集成开发工具Xcode非官方版本被注入恶意代码,最终导致社交、出行、娱乐等各类共计692款App受到污染,影响上亿用户。
因此,从总体上看来,在数字化转型的背景下,商业银行面临众多新的问题亟待解决,网络安全保障形势不容乐观。
二、正确认识数字化转型带来的网络安全风险
习近平总书记在网络安全和信息化工作座谈会上强调,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。深刻认识到网络安全与发展的辩证关系,对于如何做好数字化转型下的网络安全工作至关重要。
网络安全应服务于企业的业务和信息化发展战略,虽然各家企业选择的管控手段各有千秋,但最终目标殊途同归。和其他风险一样,企业承担的网络安全风险与收益成正比,也就是说,更多地采用新技术将承担更多的网络安全风险,同时也意味着更可能获得超额回报。在数字化转型趋势已不可阻挡的历史潮流面前,商业银行不能因噎废食,而应该用发展解决发展中存在的问题,在守住安全红线、底线的基础上,走好信息化建设和网络安全之间的“平衡木”。只有这样,商业银行才能在未来激烈的市场竞争中乘风破浪、勇立潮头。
三、新形势下商业银行网络安全保障对策建议
1.严格落实等保关保工作要求,重点保护商业银行关键资产
近年来,国家相关政府部门审时度势,加速推进网络安全相关立法和标准制修订工作。尤其是即将出台的网络安全等级保护、关键信息技术设施保护及其配套的系列技术标准,都为商业银行的信息化建设逐步勾勒出了清晰而明确的重点保护目标和安全底线。各商业银行应结合数字化转型下业务和技术发展变化,重新梳理和识别关键信息资产,尤其是大数据时代新产生的各类高价值资产。针对识别出的高级别信息资产,各商业银行应严格按照国家等保、关保相关工作要求实施重点防护,确保主要资源投入到关键目标的保护中,防止高价值资产被破坏导致企业遭受严重损失。
2.全方位升级网络安全防线,应对新技术带来的内外部威胁
在“事前、事中、事后”各个环节,针对数字化转型带来的开放化、智能化的特点,综合利用各类先进技术,全面升级网络安全防线。
一是建立高敏感度的网络安全预警体系。数字化时代的开放性和融合性特点,决定了网络攻击带来的危害影响将呈几何级数增加。《孙子兵法》有云:“不战而屈人之兵,善之善者也。”因此,为了避免因安全隐患造成系统性影响的最好办法就是防患于未然。而数据字转型可以使得任何网络行为都留下痕迹,给判别和捕捉攻击行为留下了空间。企业可以通过积累日志、流量等数据,并借助云计算、大数据等技术开展威胁建模和快速分析,从而及时预判网络攻击行为,做到“御敌于国门之外”。
二是按照“多纵深、立体化”的思路全面升级网络安全防御。首先,商业银行应针对不同的开放模式,重新定位安全边界,并基于新的安全边界充分评估现有防御措施的完备性,根据需要升级或重铸防线。在边界防护无法迅速定位和布防的情况下,构建多纵深、立体化的防御体系就显得尤为重要。一旦边界被突破,内网边界、服务器、终端等各层面形成的防御体系应层层监测和迟滞攻击行为,防止攻击者进入信息系统的核心区域。
三是用数字化转型解决数字化转型中存在的安全问题,不断提升网络安全监控和响应的自动化和智能化水平。针对人工智能以及其他新技术引入过程中暂时未知或无成熟管控手段的风险,可通过研究如何将大数据、人工智能等新技术运用到网络安全态势监控和响应中,不断提升自动化和智能化水平,通过快速响应降低未知风险引发安全事件的概率。
3.建立全链条多方联合战线,防范系统性风险事件
为有效应对融合化带来的系统性风险问题,应在各个相关方之间建立联合战线,凝聚多方力量共同抵御安全威胁。
一是建立技术与业务融合联动的安全防线。随着数字化转型逐渐深入,商业银行的网络安全已经超出了信息科技的范畴,与业务深度融合。业务部门作为与客户直接接触的前台部门,可以及时掌握客户的安全诉求,也能够利用借助企业建立的安全品牌和口碑更好地开展营销活动。此外,业务部门和科技部门在共同推动新技术应用时,可考虑对比分析新技术带来的经济利益和潜在资金损失的基础上,建立备付金机制,及时赔付由于新技术缺陷造成的客户损失。
二是实现行业内部的“攻守联盟”。商业银行之间的公司治理、业务模式、IT架构等多个方面均有相似之处,面临的外部威胁也大同小异。因此,金融监管机构、银行业协会等行业牵头机构,可考虑建立商业银行间的态势感知、情报共享等安全平台,帮助商业银行及时响应数字化转型带来的网络安全形势变化。
三是组建“政、企、产、学、研”一体化的最广泛联盟。政府部门可考虑组织研究机构、安全企业以及金融行业,共同制定和推行数字化转型所涉及关键技术的安全规范和标准,并强化对执行实施效果的监管;建立跨行业的风险监控、预警和隔离机制,防范风险迅速蔓延。参与生态建设的各行各业都应自觉提升自身的网络安全保障能力,共建共享天朗气清、生态良好的网络空间环境。
对于商业银行来说,数字化转型带来的既是机遇也是挑战。商业银行只要以积极的心态应对新问题,妥善平衡金融科技创新和网络安全风险管控之间的关系,就能够借助数字化浪潮再次扬帆起航,为全社会提供更加优质、高效和安全的金融服务。
声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。