互聯網金融行業由於無紙化和瞬時性的特點,使得網貸平臺在網絡技術安全層面面臨的風險和複雜程度已經超過傳統金融服務,對於風控及安全保障有著更高的要求。
根據《網絡借貸信息中介機構業務活動管理暫行辦法》,“網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求,開展信息系統定級備案和等級測試”,網絡安全已經上升為網貸平臺合規的必要條件。
據了解,目前較為常見的幾種認證為國家信息系統安全等級保護三級、ISO27001、企業信用評級證書、可信網站、互聯網金融行業認證、SSL等。其中,國家信息系統安全等級保護三級認證屬於非銀機構中最重量級別的認證。
截至2017年4月14日,據盈燦咨詢不完全統計,全國通過信息系統安全等級保護三級測評的網貸平臺只有78家,僅占全國正常運營網貸平臺總量的3.42%。
“獲得信息系統安全等級保護三級認證的平臺需要通過300多項測試,意味著技術安全和控制層面能達到國家指標,具備安全事件發現、應對的能力,以及信息系統受到攻擊或破壞時的快速恢複﹑數據信息防泄露防偷的實力。”盈燦咨詢行業研究員陳摯解釋說。
九大技術安全漏洞
據了解,網貸平臺的技術安全漏洞一般有SQL註入漏洞、XSS跨站腳本攻擊、手機短信驗證缺陷、登錄功能缺陷、CSRF跨站點請求偽造漏洞、業務設計缺陷、權限繞過、敏感信息泄漏、弱口令等。
其中,信息泄露、業務欺詐是網貸平臺最為關註的風險。平臺的投入不足、人員缺乏、安全意識薄弱、制度流程不規範、安全需求不明確都是導致安全問題的因素。而對於網貸平臺技術漏洞風險主要有賬戶被盜取、個人隱私被曝光及平臺數據庫遭篡改等風險。
根據《網絡借貸信息中介機構業務活動管理暫行辦法》,“網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求,開展信息系統定級備案和等級測試,具有完善的防火墻、入侵檢測、數據加密以及災難恢複等網絡安全設施和管理制度,建立信息科技管理、科技風險管理和科技審計有關制度,配置充足的資源,采取完善的管理控制措施和技術手段保障信息系統安全穩健運行,保護出借人與借款人的信息安全。”
目前,大多數網貸平臺一般將外部網絡技術安全認證置於平臺首頁底部,其余較為重要的認證則較多披露在網站資質證明板塊。
較為常見的幾種認證為,國家信息系統安全等級保護三級、ISO27001、企業信用評級證書、可信網站、互聯網金融行業認證、SSL等。其中,尤以信息系統安全等級保護備案最具公信力及效力。
2007年7月24日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》(下稱《辦法》),該《辦法》將信息系統的安全保護等級分為五級,等級越高,安全保護能力就越強。
目前大多數互聯網金融平臺獲得的以第二級認證為主,第三級作為國家對非銀行金融機構的最高級認證,屬於“監管級別”,即非銀機構的最高級認證就是第三級別,由國家信息安全監管部門進行監督、檢查,認證要求十分嚴格。
例如,融金寶在2016年11月通過信息系統安全等級保護三級認證申請,在認證過程中進行了一系列測評,包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢複、系統建設管理、系統安全管理等多方面的安全評測;另外,杉易貸作為上市公司參股平臺在2017年3月也獲得信息系統安全等級保護三級認證。
還有誰在“裸奔”?
通過國家信息安全等級保護三級測評的78家網貸平臺背景顯示,民營系占比最多,占到總數量的64%,達50家;其次為國資參股平臺,占比為12%,達9家;上市公司參股平臺緊隨其後,占比為10%,達8家;國資控股平臺及上市公司控股平臺相對較少,占比分別為9%和5%,各有7家和4家。
在地域分布上,通過信息系統安全等級保護三級測評平臺分布在10個省市,其中廣東和北京的獲三級備案平臺數量遙遙領先,分別達29家和25家;上海和浙江分別有7家和6家。
陳摯表示,一般來說,三級認證對提升用戶信息和資金安全的作用主要體現在兩個方面:一是能夠在統一安全策略下防護系統免受來自外部有組織的團體發起的惡意攻擊、較為嚴重的自然災難,以及其他相當危害程度的威脅所造成的主要資源損害,能夠發現安全漏洞和安全事件,在系統遭到損害後,能夠較快恢複絕大部分功能。
二是能夠在安全事件發生時,有足夠的應對能力,快速恢複功能,從而保護客戶的信息安全。