互联网金融行业由于无纸化和瞬时性的特点,使得网贷平台在网络技术安全层面面临的风险和复杂程度已经超过传统金融服务,对于风控及安全保障有着更高的要求。
根据《网络借贷信息中介机构业务活动管理暂行办法》,“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试”,网络安全已经上升为网贷平台合规的必要条件。
据了解,目前较为常见的几种认证为国家信息系统安全等级保护三级、ISO27001、企业信用评级证书、可信网站、互联网金融行业认证、SSL等。其中,国家信息系统安全等级保护三级认证属于非银机构中最重量级别的认证。
截至2017年4月14日,据不完全统计,全国通过信息系统安全等级保护三级测评的网贷平台只有78家,仅占全国正常运营网贷平台总量的3.42%。
“获得信息系统安全等级保护三级认证的平台需要通过300多项测试,意味着技术安全和控制层面能达到国家指标,具备安全事件发现、应对的能力,以及信息系统受到攻击或破坏时的快速恢复﹑数据信息防泄露防偷的实力。”****行业研究员陈挚解释说。
九大技术安全漏洞
据了解,网贷平台的技术安全漏洞一般有SQL注入漏洞、XSS跨站脚本攻击、手机短信验证缺陷、登录功能缺陷、CSRF跨站点请求伪造漏洞、业务设计缺陷、权限绕过、敏感信息泄漏、弱口令等。
其中,信息泄露、业务欺诈是网贷平台最为关注的风险。平台的投入不足、人员缺乏、安全意识薄弱、制度流程不规范、安全需求不明确都是导致安全问题的因素。而对于网贷平台技术漏洞风险主要有账户被盗取、个人隐私被曝光及平台数据库遭篡改等风险。
根据《网络借贷信息中介机构业务活动管理暂行办法》,“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。”
目前,大多数网贷平台一般将外部网络技术安全认证置于平台首页底部,其余较为重要的认证则较多披露在网站资质证明板块。
较为常见的几种认证为,国家信息系统安全等级保护三级、ISO27001、企业信用评级证书、可信网站、互联网金融行业认证、SSL等。其中,尤以信息系统安全等级保护备案最具公信力及效力。
2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(下称《办法》),该《办法》将信息系统的安全保护等级分为五级,等级越高,安全保护能力就越强。
目前大多数互联网金融平台获得的以第二级认证为主,第三级作为国家对非银行金融机构的最高级认证,属于“监管级别”,即非银机构的最高级认证就是第三级别,由国家信息安全监管部门进行监督、检查,认证要求十分严格。
例如,融金宝在2016年11月通过信息系统安全等级保护三级认证申请,在认证过程中进行了一系列测评,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、系统建设管理、系统安全管理等多方面的安全评测;另外,杉易贷作为上市公司参股平台在2017年3月也获得信息系统安全等级保护三级认证。
还有谁在“裸奔”?通过国家信息安全等级保护三级测评的78家网贷平台背景显示,民营系占比最多,占到总数量的64%,达50家;其次为国资参股平台,占比为12%,达9家;上市公司参股平台紧随其后,占比为10%,达8家;国资控股平台及上市公司控股平台相对较少,占比分别为9%和5%,各有7家和4家。
在地域分布上,通过信息系统安全等级保护三级测评平台分布在10个省市,其中广东和北京的获三级备案平台数量遥遥领先,分别达29家和25家;上海和浙江分别有7家和6家。
陈挚表示,一般来说,三级认证对提升用户信息和资金安全的作用主要体现在两个方面:一是能够在统一安全策略下防护系统免受来自外部有组织的团体发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
二是能够在安全事件发生时,有足够的应对能力,快速恢复功能,从而保护客户的信息安全。