互聯網金融的技術性安全

姬紅

近年來，金融業信息化程度不斷提高，對金融業的改革、發展、壯大發揮了重要的促進作用。但同時，金融業對信息技術的依賴程度越來越大，尤其是近年來，互聯網應用和電子商務的蓬勃發展掀起的變革浪潮，進一步加大了信息安全風險的擴散效應，將中國金融安全問題更迫切地推到臺前，成為金融行業當前必須面對的嚴峻考驗。

1 互聯網金融危機頻發，敲響安全警鐘

近年來頻繁集中爆發的互聯網安全事件不僅應驗了業內人士此前的憂慮，而且也給年輕的互聯網金融敲響了警鐘：

2014年春節前夕，拍拍貸、好貸網、火幣網等多家P2P網貸平臺遭黑客攻擊，平臺頁面無法打開，致使投資人無法登錄平臺投資和提現，平臺負責人隨后收到黑客幾千元至幾萬元不等的敲詐信息。

近期，多個P2P平臺陸續爆出問題，P2P網貸行業資訊門戶網貸之家、網貸天眼及第一網貸等平臺都遭受到了黑客攻擊。

此外，央行近期對虛擬信用支付和二維碼支付的叫停，也可以理解為，考慮到支付流程中的安全問題，比如虛擬信用支付中的本人確認問題、材料真實性問題以及二維碼支付中的客戶信息安全問題，都已經成為監管機構履行安全監管職責的監管地帶。

嚴峻的金融信息安全形勢，要求金融業切實采取措施，努力提高信息安全保障水平，堅決打擊危害金融信息安全的犯罪活動。因此，清醒地看到當前我國互聯網金融安全面臨的形勢，充分認識金融安全工作的重要性，未雨綢繆，勇于應對挑戰，對于我國的金融機構來說尤其迫切。

2 互聯網金融危機呈現新特點，技術性風險上升

業內普遍認為，互聯網金融最大的成本不是平臺運營成本，也不是客戶的獲取成本，更不是監管上的投入成本，而是作為平臺本身的信譽成本，也就是常說的平臺信任度。一旦缺乏了信任度，客戶擠兌，資金流逝，平臺成為了無源之水，即便符合監管標準，降低運營成本也無濟于事。

從用戶角度出發，選擇一個安全、審慎的平臺進行理財、融資、投資是十分有必要的。傳統金融之所以沒能在金融互聯網化上有更多創新，一方面是監管設限，另一方面也是考慮到平臺的安全性問題，在一個沒有良好的IT后臺支撐，沒有風險撥備和不良率控制的互聯網平臺，一旦遭遇平臺的信任風險，就將很難再次獲取客戶的信任。客戶的遷移習慣需要一個長期培育的過程，這個過程在遭遇了風險和安全問題后，一般是不可逆的。

我們注意到，對于互聯網金融，監管層的立場基本上是有條件的鼓勵和支持，即便是在今年的兩會期間，互聯網金融寫入了政府工作報告，但是潛臺詞是要風險可控。否則，一旦出現不可控的風險趨勢，監管層必然會以保護投資者利益為由進行更嚴格的準入監管。

從近期發生的互聯網金融安全危機來看，中國的互聯網金融業已經進入了風險的第二階段，因為技術力量的不足，在互聯網非法攻擊面前，平臺的抵御能力和用戶資金、信息的保護能力正逐步陷入捉襟見肘的窘境。

2014年，互聯網金融通過概念和收益的引領，開創了互聯網金融元年的新時期，也成為金融新趨勢的代名詞。在這個初創階段，互聯網金融的平臺風險主要是集中在平臺的運營風險和模式風險，也就是平臺自身的風險，比如部分p2p進行自融、詐騙、頻繁債權轉讓等，在不規范、甚至違法的業務運作中放大了平臺的運營風險。

為此，央行、銀監會以及相關部門在上海、深圳等地對互聯網金融開展了深度的調研，并成立了一些專業的互聯網金融協會，分享運營模式經驗和風險，給當時的不規范的互聯網金融打了一劑猛藥。在行業性風險的處理中，互聯網金融也逐漸形成了一些安全與風控的基本原則，比如P2P行業的“點對點、數據征信、第三方”以及不搞自融，不建立資金池，不非法集資等。

那么近期爆發的互聯網金融安全危機，普遍呈現出哪些特點呢？從這一輪安全性風險的溯源來看，大多不是平臺的模式風險，而是外部的網絡安全性問題，也就是平臺在抵抗互聯網非法攻擊方面的抵御能力和用戶資金、信息的保護能力。從這個意義上而言，目前的互聯網金融是進入了風險的第二個階段。如果說前一個風險是經驗上的不足導致的風險，這一個階段的風險就是技術上的不足導致的風險。

頻繁發生的安全危機無疑正在不斷推高互聯網金融成本。相關技術分析和輿論解讀普遍認為，傳統金融的成本集中在線下的人力成本、物理店面成本以及復雜性較高的后臺IT成本；而成長初期的互聯網金融平臺，在安全性上的配套資源相對不那么充足，主要的成本在于平臺搭建成本和市場營銷成本。

我們注意到，隨著互聯網金融往縱深發展以及金融互聯網化的發展，互聯網金融和傳統金融的成本差距正呈現縮小的趨勢。

就互聯網金融而言，安全性問題在短期內將成為一把達摩利斯之劍，為提高平臺的抗安全攻擊能力，除了在平臺流程和數據征信上加強完善外，互聯網金融平臺將不得不在安全性問題上投入更多的資源，包括設備配置、網絡維護、人員安排以及應急處理機制。特別是對于部分中小P2P網貸平臺，資金實力本來有限，購買寬帶、使用防火墻，將耗費巨額成本，往往難以控制風險。

在互聯網金融領域，特別是對于非專業IT公司出身的一般互聯網金融平臺，在互聯網安全問題上碰到危機可能性更大，短期內也會加大平臺的運營成本，甚至有覆蓋利潤的風險。所以，互聯網金融并非沒有成本，在很大程度上而言，中小平臺的運營成本將會呈現更大的上升趨勢；不僅如此，技術性安全隱患更是風控以外的另一個核心命題。

3 護航互聯網金融安全，規避技術風險的任重道遠

我們認為，互聯網金融并不是僅僅互聯網與金融簡單嫁接，他是互聯網利用現代信息技術對傳統金融業務方式重新組合捆綁提供的一種新的服務模式。金融安全的核心工作是風險管理，基于互聯網信息傳播的特殊性，互聯網金融風險管理與控制是一項技術性和專業性很強的工作，對從事這項工作的團隊及其人員的要求，有著比傳統金融更高的技能要求標準；而從國家金融安全的層面看，互聯網金融安全或將有更加縝密的頂層制度設計。

近日央行在互聯網金融監管上的表述是：互聯網金融應自擔風險，而不能轉嫁給社會；鼓勵充分競爭，反對壟斷。結合之前央行的表述，基本可以確定央行以及上層監管的主要著力點在于平臺的風險控制，也就是將平臺的運營模式和流程控制規范化，更多的是考慮模式上的風險，而不是安全、技術上的風險。

這段期間P2P集中爆發的平臺安全問題，將引起上層監管的新一輪重視，繼風控之后，平臺的安全問題和技術成熟問題也將被高度關注。此外，目前互聯網金融領域還沒有形成比較清晰的監管分工，只是做了一些原則性的規定，比如央行監管第三方支付，銀監會監管P2P，證監會監管在線理財等，但是缺乏細化的落地監管標準和細則，比如具體的準入門檻，風控標準，安全標準等。

監管落后于具體業務，創新便不可避免，但在風險監管和安全控制上的敏銳程度相對來說大于一般合規業務的監管，因為監管機構的首要任務是避免風險，保證金融體系的穩定、安全。由此可以預見，隨著互聯網金融的風險進入第二階段，監管層的監管重點也有可能進入以安全為名義的新一輪密集期。

[責任編輯：侯天宇]