安全隐患丛生
对于网络黑客来说,P2P网贷平台曾是一块肥肉。
来自01财经的数据显示,截至今年5月31日,全国P2P网贷平台已经达到4565家,仅5月当月的交易数额就已经达到1432亿元。
“多金,但平台安全策略不足”,某国内安全软件企业表示,这是国内P2P网贷平台屡遭黑客攻击的重要原因。
这一说法并非空穴来风。8月19日,移动互联网系统与应用安全国家工程实验室发布了《移动互联网金融APP信息安全现状白皮书》。《皮书》指出,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。
据悉,《皮书》以国内前100名(互联网金融安全平台“网贷之家”中2015年发展指数为标准)的互联网金融公司旗下的Android移动应用为样本,进行信息安全评估,并对样本中的88个互联网金融类移动应用APP进行了深入测试,进而得出上述结论。
那么,P2P网贷平台的网络安全性真的如此不堪么?
标准缺失下的博弈
“在国标出台之前,行业基本处于粗放式发展”,一位不愿透露姓名的P2P企业安全负责人表示,此前媒体形容互联网金融是“野蛮人”很形象。
这种粗放性反映在技术平台的建设上,就是对平台的简单复制。记者在随后的采访中了解到,目前P2P技术平台的建设主要有三种形式:自建、定制化外包、购买成型平台。从综合成本来看,三者呈递减趋势。
对此,赛门铁克安全工程师表示,部分平台采用外包或购买方式组建技术平台,没有能力去进行系统的研发和升级,面临着极高的风险。因为系统来自外部,代码完全失控;企业自身也没有安全评估能力,没有专职人员制定安全方案,安全风险极高!
更大的风险则在于,通用型模板一旦为网络黑客所攻破,将形成批量的受害企业。
事实上,出于成本与企业规模的限制,让每一家P2P企业配备完整的技术安全团队并不现实。对大多数企业来说,亟需一家资质过硬的第三方技术检测平台。
国家队将出
记者从国家互联网应急中心了解到,其已经于今年3月启动了互联网金融风险分析技术平台的建设。据悉,该平台在5月底已完成原型系统建设。
对此,国家互联网应急中心表示,互联网是一把双刃剑,引起了行业变革,带来了便捷,但也引发了安全问题。对于互联网金融而言,没有有效的安全,行业不可能获得持续发展的契机。
实际上,P2P金融作为互联网与金融双维度的创新结果,它的监管既要回归金融的本质,也要满足互联网发展的技术本质。从技术角度来看,由技术引发的问题,最终也将回到技术性的解决方案上来。
下一步,互联网金融风险分析技术平台,将围绕通过运行异常监测、资金异常监测、舆情异常监测、网络安全监测等四个维度,及时发现互联网金融企业运行存在的异常情况,并进行综合分析和预警。记者了解到,目前平台已经开始为监管部门的监管活动提供相应的数据及技术服务。
此外,在本月26日,由国家互联网应急中心牵头组建的“国家互联网金融安全技术专家委员会”也将成立。届时,在互联网金融网络全领域,将首次形成比较完整的国家队布局——智库+技术平台。