9月10日,FCS 2019中国金融CIO峰会在上海如期举行,FCS 2019以““智行”有方——CIO 如何赋能智慧金融 ”为主题,350+来自银行、证券、保险、基金和互金等金融行业顶级机构CIO及信息技术、信息安全、IT规划、金融科技等相关部门高层领导,携手金融行业信息化解决方案服务商共聚一堂,聚焦金融科技ABCD+行业应用场景与解决方案,共谋金融科技的未来发展。爱加密受邀参加此次盛会,并发表了《移动金融合规监管建设探析》主题演讲。
随着高速发展的IT技术与行业的高效融合,金融行业的数字革命即将进入下半场。以人工智能(AI)、区块链(Blockchain)、云计算(Cloud)、大数据(Big Data)为代表的创新科技成为引领金融行业数智发展的绝对C位,智慧金融4.0时代已经到来。金融行业数字化转型面临的问题诸如,如何打造最佳客户体验?如何应对史上最严监管合规?引领金融行业数字化升级的IT解决方案是什么?都是未来金融时代的发展方向。
爱加密研究院副院长魏超,从金融行业的时代转型趋势,对移动金融合规进行了安全研究,并对监管体系的建设给出了独到看法。魏超不仅全面分析了金融内外环境的变化和挑战对新技术转型的驱动和变革,同时深度剖析了科技驱动、监管驱动下,新银行的发展特点,主要表现为:行业整合、新技术影响、全球化企业竞争、波动性与风险增大、去中介化新趋势以及用户认知提升等特点。
移动金融主要形态包括以输出自身科技和业务基础服务能力为目标,与广大具有金融场景的企业结成同盟,构建生态体系,另一种为以运营自身的核心客户为目标,融入金融产业生态链,通过引进第三方服务提升客户粘性,形成多元化金融服务。
而随着移动应用的大力发展,移动恶意程序也随之增长。国家出台相关政策,并加强监管力度。中国人民银行关于印发《金融科技(FinTech)发展规划(2019-2021)》表示,要增强网上银行、手机银行、直销银行等业务系统的安全监测防护水平,提升对仿冒APP、钓鱼网站的识别处置能力。除此之外,金融企业应积极响应国家安全政策,主动提升自身安全能力,保证移动应用生态合规。
个人信息泄露案件:
曾被315晚会点名的“714”高炮借贷平台APP“甜兔”,公安机关已对该平台背后的犯罪团伙进行抓捕,218名犯罪嫌疑人落网。
经侦查,自2018年5月至今年3月,该犯罪集团开发、利用1317个手机APP,建立“甜兔”“雏鹰”“闪电虎”“红番茄”“米猪”等24个网贷平台,通过40多个壳公司与受害人签订合同。
警方对“甜兔”进行恶意代码检测后发现,一旦安装后,软件会强制获取通讯录、通话记录、摄像头等权限,且没有任何提示。这些信息最终到了外包的24家催收公司手中,这些催收公司几乎无一例外地采取了威胁、恐吓、“爆通讯录”等暴力催收手段。
据人民日报报道,该犯罪集团累计非法获取1197.6万余人的个人信息,在不到8个月的时间内,诱骗47.5万余人贷款,累计放款59.75亿元、收回91.16亿元,非法获利31.41亿元。
除此之外,还有个人信息泄露、违规盗版应用猖獗、应用“变脸”等安全事件层出不穷。
那么如何进行移动金融的合规监管体系建设呢?魏超指出,应该从静态防护、动态防护相结合,保障移动应用全生命周期安全以及多重角度关注移动安全的建设思路出发,保障移动应用监管的合法合规化发展。
一、事前检测感知能力
从开发源头抓起,培训安全开发意识,提供移动端安全检测服务,赋予数据采集能力,从事前开始针对移动应用安全能力赋能。
通过对预留事件、安全事件、埋点事件、计算事件、应用名单、用户属性等数据内容的采集,建立金融风险监控平台,将智能风控嵌入业务流程,实现可疑交易自动化拦截与风险应急处置,提升风险防控及时性。
依据《App违法违规收集使用个人信息自评估指南》,对App个人信息安全隐私条款进行评测。对App基本信息、源文件风险、组件风险、数据安全风险、身份验证风险、安全策略风险等进行检测,同时对第三方SDK进行安全检测,包括个人隐私权限违规、危险行为、安全风险漏洞、病毒检测、境外传输、超范围采集等。从而保障移动应用的合法、合规、安全、可靠。
二、事中防护响应能力
基于全方位的安全加固保护,防止移动应用被恶意破解注入反编译攻击,根据感知到的威胁时间,自动化响应处理威胁。
针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险。需要对移动应用进行安全加固,通过爱加密第六代加密技术,为用户提供全面的移动应用加固和攻击防范解决方案。
除了针对应用本身的加固防护之外,还需要对移动应用客户端进行智能拦截,包括退出应用、弹窗、Toast提示退出、允许执行、悬浮球、通知栏、预下载、下载并安装应用等,比如当移动端触发刷单场景后,平台就会下发退出应用的指令到移动端等。针对不同场景提供不同的响应形式来闭环威胁,在威胁事件发生时做到事中及时响应。
三、事后智能监管能力
自下而上的建立资产监测和安全分析能力,闭环威胁管控,为监管单位提供全局管控。通过爱加密移动应用大数据平台,对区域、行业、功能、权限、企业信息等维度数据进行采集、清洗、分类、安全检测、数据分析、数据归档存储至移动应用大数据中心,构建监管业务安全视图,展示全网安全总览图,实现政府和企业客户对移动应用的主动监测。
通过全渠道智能化数据监测与分析,一站式监控所有App相关渠道的信息,及时了解盗版、钓鱼风险应用信息,一发现盗版立即执行盗版应用下架服务。