今年6月,央行网站发布《中国人民银行年报2015》,在年报里,央行45处提及互联网金融,足以看出对行业的重视程度。从年报来看,央行2015年互联网金融工作的重点包括法治、信息化、统计、研究、社会宣传和公众教育方面。而其中在金融信息化方面,央行提到了一个我们都特别容易忽略却又无比重要的关键词——网络安全。央行表示,“金融信息化要以金融标准化的手段,促进新技术在互联网金融、网络安全等领域的应用和发展。”
在跑路频繁的当下,投资人逐渐从一系列的负面消息中吸取了教训,不再片面追求高收益,而是更加看重平台的安全性。但需要注意的是,一个平台是否安全,并不单单是合法合规、坏账低,平台的安全还应涵盖网络安全。但用户对信息安全问题正在变得麻木,无法形成足够的重视。
但网络安全问题却又形势严峻。中国互联网协会报告显示,近一年,因网民权益被侵犯而造成的经济损失达915亿元,人均133元,比去年增加9元。报告指出,76%的网民遇到过冒充银行、互联网公司、电视台等进行中奖诈骗的网站,收到过“钓鱼、盗取账号的电子邮件”的网民也占51%。像P2P平台跑路一样,信息安全事件几乎成了每天都在发生的事情。但与P2P平台跑路不一样的是,信息安全事件不是阶段性的,它与互联网相伴相生,对平台、对用户的资金安全一直是个威胁。
平台力量有限
P2P平台如果出现漏洞,将会直接接触到用户最敏感的信息,甚至很有可能会直接造成经济上的损失。关系着用户切身的经济利益,所以,P2P平台上的信息安全无小事。不管用户重视不重视,平台都应该在安全上做足功课。
但P2P平台与信息安全问题的斗争又是不公平的,企业在明处,黑客在暗处。平台的技术人员可以尽量减少漏洞,但总是无法完全避免黑客或竞争对手的恶意侵害。比如,某大型招聘网站曾遭遇脱库,造成86万份用户简历信息泄露。当一个平台承载的用户的信息越来越多,网络安全的责任和压力就会越来越大。而网络技术发展非常快,黑客手段层出不穷、不断更新,因此平台需要调动更大的力量来应对网络安全挑战。
白帽子与P2P平台
这个更大的力量就是白帽子群体,这个群体对平台往往没有恶意,而是出于兴趣爱好识别计算机系统或网络系统中的安全漏洞,公布其漏洞,使系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞。
白帽子会随时发现各大网站的漏洞,这对平台来说价值斐然。不过,平台与白帽子之间的沟通是一道不小的鸿沟。白帽子也许好心告知平台漏洞,但平台有可能会误解白帽子的动机。安全专家赵武在接受采访时曾提到过这个问题,他表示曾出现过,当白帽子告知企业网站存在漏洞时,厂商直接报警抓人的情况。最近乌云平台的事件便是最直观的表现。所以,平台和白帽子之间需要建立一个有效的沟通机制。
解决之道:自建SRC 与白帽平台合作
这一系列的困难给P2P平台带来了困扰。目前,真正针对信息安全做出措施的平台是少之又少。
这次,提出最佳解决方案并引导行业做出改变的是宜人贷,宜人贷的解决方案是自建SRC(Security Response Center 安全应急响应中心)。目前,宜人贷已上线YISRC。那么,为何自建SRC是最佳解决方案?
YISRC相当于宜人贷搭建了一个桥梁,白帽子可以通过这个渠道将自己发现的问题提交给宜人贷,宜人贷迅速修补漏洞。更加集中地汇总白帽子的建议和反馈,以更加直接的沟通方式与白帽子群体沟通。
当然,白帽子的积极性不能仅依靠兴趣爱好,YISRC还设立了积分制的“漏洞奖励计划”,凡是通过YISRC平台提交安全漏洞和威胁情报的白帽子均可以在积分商城兑换笔记本电脑、专业相机、手机等丰厚的礼品或现金回报,以此来激励白帽子帮助宜人贷找漏洞。通过自建SRC,宜人贷可以第一时间感知最新的安全威胁、修复漏洞,极大降低了平台出现安全问题的可能性。
不过,毕竟并非所有的P2P平台都能像宜人贷一样有足够的技术实力和安全意识自建SRC,很多时候都是白帽子社区如WooYun、漏洞盒子、补天等平台主动公布漏洞。比起企业自建的SRC,这些白帽子社区,也可以帮助平台发现漏洞,修补漏洞。这样,宜人贷建立的这套体系,能够尽可能调动白帽子的力量,保证平台一旦出现漏洞能够第一时间被发现,避免给投资者造成不必要的损失。
现阶段,行业监管趋严,P2P平台自身的合规性需要走上一个新的台阶,最终存活下来的平台,势必是合规的。但合规之外,安全性也是一项基本要求。
从这个角度来看,宜人贷自建SRC的意义不仅仅在于提升平台整体系统的安全防护能力、保护用户的信息和资金安全。更重要的是,宜人贷给其他平台提了个醒,平台的安全不只是做好眼前的这点工作,而应当站在投资人的角度,找到任何有可能给资金安全带来威胁的因素,去消灭这些潜在风险。这更是一个平台主动性的体现,责任感的体现。作为中国互联网金融海外上市第一股,宜人贷自建SRC的举动势必将引领整个行业走向,引导其他平台提高信息安全意识,为用户和行业营造一个更安全的互联网金融生态圈。
P2P平台安全绝非一句空话,需要平台把每一个细节做到极致。央行白皮书实际上是一个提醒,让平台看到自己忽视或者做得还不够好的地方,进一步提高平台的安全性。
