4月13日,由一本财经主办的“风控·命门”第三届金融科技风控大会在北京正式举行。本届大会是中国风控行业一次盛会,众多金融科技风控行业专家应邀出席,与全球顶尖金融公司的CRO和风控从业者齐聚一堂,探讨趋势,寻找痛点,破解困境,共话未来。知道创宇创始人兼CEO赵伟也应邀出席大会,并在主论坛上分享了主旨演讲,为与会嘉宾带来了自身对于金融科技行业数据安全问题的深度解读。
赵伟提到,在大数据时代,数据安全往往与企业的存亡休戚相关。在金融科技领域,金融数据是金融科技企业最核心的资产。数据的获取、融合、计算和分析,涵盖了用户的消费习惯、现金借款习惯、银行消费记录等众多方面,庞大而详细的数据对企业而言是一座金矿,但是对于黑客来说同样意味着巨大的价值。黑客会长期对金融科技公司进行渗透和数据扒取,一旦被黑客攻击,公司就会遭受巨大的损失。
遍观全球金融科技行业,数据泄露事故屡见不鲜。2017年9月美国三大个人信用评估机构之一的Equifax被爆出遭遇黑客攻击,约有1.42亿美国用户的个人重要信息面临泄漏;2018年11月,美国汇丰银行通知客户10月4日至10月14日期间发生了数据泄露,攻击者访问了访问该金融机构的在线账户。泄露信息包括用户的详细个人信息、账户信息和交易记录。
为了应对数据泄露造成的威胁,全球各国都正在提高对数据安全的重视。譬如欧盟出台了GDPR通用数据保护条例、美国出台了隐私权法和网络安全法,新加坡发布了个人信息保护法等,都正在加大对用户数据的保护,并且已经有多家大型国际企业已经收到了GDPR的处罚。我国也发布了《网络安全法》,个人信息保护法也正在制定当中。
赵伟认为,金融科技企业的数据收集应该符合法律法规的要求,在适当、相关和必需的前提下进行,在此过程中保护用户的知情权和企业收集的合法性,保证数据收集是在一定的框架和允许的范围内进行,同时对于所收集的数据以及数据的真实用途要明确告知用户,否则将会为企业带来极大的风险。
针对金融科技企业如何做好数据安全的问题,赵伟指出,数据生命周期的每一个环节都存在安全威胁,从数据的收集和产生,然后到存储、使用、传输、共享。在这期间会碰到很多安全问题,就是数据产生以后存取时可能会被篡改和盗取,使用和传输的时候会被攻击,共享的时候会被利用,偷取的时候会被贩卖,最后数据还会失真,再次修改进入数据库,或者让大数据分析的结果失真。
金融科技企业应对数据安全风险,要从技术层面和管理层面多方着手。一方面在技术层面做好隐私基准评估、隐私数据识别、数据监控扫描、数据加密、安全存储,通道加密、传输行为审计,数据脱敏,数据锁等多方面工作,了解隐私数据的红线在哪里,统计网络行为模型,实时监测是否有黑客入侵偷取数据。
另一方面,在管理层面则应该设立首席数据安全官来负责数据安全,要设立多个数据安全保护官,或者是多支团队保障数据安全。同时还要建立好攻防对抗的机制,通过攻防对抗真正的检验系统安全性,了解黑客的攻击方法和技术手段才能更好的保护自己。
赵伟介绍,知道创宇是一家致力于大数据驱动的下一代网络安全企业,目前知道创宇的主要客户包括部分国家机关部门、公安以及国内众多的一流互联网公司,金融科技行业也是知道创宇的主要保护对象,目前知道创宇云防御平台拥有上百家互联网金融客户使用。在国家重大活动期间由知道创宇提供的云防御的网站无一起黑客攻击事件。
知道创宇可以为客户提供数据加密、脱敏和数据防扒取产品,也提供安全咨询和构架的设计,以及数据安全隐私培训、攻防对抗演练服务。知道创宇希望为金融科技行业创造更安全的生态环境,帮助各互联网金融平台构建安全的防护机制,远离黑客攻击的威胁。
