新京報記者采訪金融、安全行業(yè)多位圈內人士發(fā)現(xiàn)，隨著移動支付的發(fā)展，越來越多的金融機構將借貸、支付場景轉移到了線上，在這一過程中，許多銀行遭遇到了新麻煩，包括如何達到國家規(guī)定的安全標準、如何對抗浸淫互聯(lián)網(wǎng)圈已久的黑產(chǎn)攻擊，以及如何讓APP既實現(xiàn)多項業(yè)務功能，還可在個人信息保護上合規(guī)。

 

　　12月10日至16日，新京報記者下載30款排名靠前的金融類APP測試發(fā)現(xiàn)，金融APP超范圍索取權限問題仍然存在。30款APP中有17款APP索取了隱私權限，其中13款APP索取了位置權限。

 

　　“怎么判斷APP的權限‘越界’，我們之前也不了解。但所有銀行自成立之初，就一直有風控部門在把關風險。只不過，在從線下支付到移動端支付的發(fā)展過程中，我們遇到的風險形態(tài)已經(jīng)發(fā)生了很大變化，金融機構在這方面的投入也逐年升高，內控、抵御黑產(chǎn)攻擊、信息保護合規(guī)，很多地方需要注意。”某銀行高管戴蒙（化名）告訴新京報記者。

 

　　測試30款APP：17款索取隱私權限，其中13款索取位置

 

　　金融APP近期正遭遇又一輪監(jiān)管。12月初國家網(wǎng)絡與信息安全通報中心發(fā)布通報指出，公安機關在開展APP違法違規(guī)采集個人信息集中整治中，下架整改100款違法違規(guī)APP，其中光大銀行、天津銀行等金融類APP上榜。

 

　　對此，一位不愿具名的接受整改APP的高管對新京報記者表示，“之前我們接到通知說我們的APP存在泄露客戶隱私的問題，具體問題包括隱私協(xié)議不規(guī)范和超范圍收集，但目前已經(jīng)整改完了。”

 

　　12月10日至16日，新京報記者在華為應用市場隨機下載了30款排名靠前的金融類APP測試發(fā)現(xiàn)，若按照全國信息安全標準化技術委員會2019年8月8日發(fā)布的《信息安全技術 移動互聯(lián)網(wǎng)應用（APP）收集個人信息基本規(guī)范（草案）》規(guī)定的金融借貸類APP必要權限范圍，這30款APP中有25款在首次打開時超范圍申請了權限。如光大銀行申請位置權限，好分期申請通訊錄、位置，閃電借款申請位置，民貸天下申請錄音、拍照權限等。這說明，金融APP超范圍索取權限問題仍然存在。不過記者注意到，即便拒絕上述權限索取要求，這些APP仍可繼續(xù)使用。

 

　　但需要注意的是，根據(jù)《信息安全技術 移動互聯(lián)網(wǎng)應用（APP）收集個人信息基本規(guī)范（草案）》規(guī)定，金融借貸類APP為用戶提供從金融機構進行個人消費貸款服務，包括授信、借款、還款與交易記錄等功能（其中金融機構是指有放貸資質的銀行、消費金融公司、小貸公司等在網(wǎng)絡上提供借貸服務的機構）。金融借貸類APP的必要權限只有存儲權限一個，即除了存儲權限，對其他任何權限的索取都涉嫌超限索權。

 

　　新京報記者發(fā)現(xiàn)，許多金融類APP除了收集必要的手機存儲權限外，往往還會收集設備信息權限，如360借條、度小滿理財?shù)�，而這也是導致眾多金融類APP涉嫌超限索權的原因。有熟悉隱私行業(yè)的專家表示，設備信息包含手機識別碼，一些基本功能如認證登錄等均需要手機識別碼的支持，此外，該項權限在互聯(lián)網(wǎng)廣告領域也是用來追蹤用戶的重要標識，因此眾多APP都會收集該項權限。

 

　　根據(jù)上述《規(guī)范》，相機、通訊錄、位置、麥克風、短信等權限屬于“隱私權限”范疇。新京報記者測試上述30款金融類APP發(fā)現(xiàn)，30款APP中有17款APP索取了隱私權限。其中位置權限被索取得最頻繁，有13家APP均索取了位置權限。

 

　　上述金融類APP均在首頁對隱私政策進行了彈窗公示，一些APP則對索取權限的理由也進行了解釋。如拉卡拉在首次安裝打開后便彈窗表示其有可能索取定位、相機權限。其中索取定位權限的目的是用位置信息評估業(yè)務風險，而相機則用于身份確認。而招商銀行則彈窗提示開啟定位權限，目的是提高查詢本地城市服務、附近優(yōu)惠商戶的準確性。好分期申請了通訊錄與位置權限，其在首頁彈窗對申請權限的行為作出解釋稱，“允許訪問通訊錄可以有效提升審核效率，允許訪問位置可以提升好分期商城體驗”。

 

　　對此，金融科技專欄作家、資深觀察人士畢研廣對新京報記者表示，金融類APP正常收集個人信息，以便于風險控制、門檻設立、投資者測評等是有必要的。比如個人辦理貸款時，銀行需要掌握個人基本的身份信息、財力狀況等，至于讀取相應通訊錄信息、短信信息等則沒有必要。

 

　　超限索權、黑產(chǎn)、“內鬼”，銀行類APP成風險“重災區(qū)”

 

　　12月16日，戴蒙對新京報記者表示，其所在的銀行曾遭遇監(jiān)管機構的整改通告，原因是其索取了用戶的通訊錄權限與位置權限。戴蒙表示，索取通訊錄權限僅是為了方便用戶向好友轉賬，而位置權限則是告知線下網(wǎng)店的位置。他透露，監(jiān)管部門并未全面禁止不允許索取上述權限，只是一定要在隱私協(xié)議里對索取權限的原因有所體現(xiàn)。

 

　　還有業(yè)內人士對新京報記者表示，其實很多銀行的APP是找外包團隊做的，“雖然在應用市場看到APP的運營商是銀行自己，但實際上做APP的另有其人。而程序員如果在做APP時‘抄了’其他APP安裝包的內容，就有可能導致權限索取的部分也一起‘抄’過來了，最后導致隱私不合規(guī)。”

 

　　根據(jù)中國信息通信研究院此前發(fā)布的《2019金融行業(yè)移動APP安全觀測報告》，在具有典型代表性的12款下載量過億的金融行業(yè)APP中，多款APP存在不同程度的超范圍索取用戶權限的情況，在隱私政策方面也存在多種違法違規(guī)行為，給用戶個人隱私信息安全帶來隱患。APP用戶的個人隱私信息一旦泄露，將帶來嚴重的后果，如騷擾電話、信息詐騙、惡意推銷、網(wǎng)絡情感詐騙等，會嚴重損害APP用戶的利益。

 

　　在不少安全專家看來，銀行APP里面包含了很多重要的客戶數(shù)據(jù)，而權限索取則是獲取客戶數(shù)據(jù)的途徑之一，因此不論是出于業(yè)務考慮還是無心之失，過多收集客戶數(shù)據(jù)的同時，如果銀行的風控系統(tǒng)不到位，客戶信息也很容易被黑產(chǎn)或“內鬼”所竊取。

 

　　新京報記者查閱黑貓投訴平臺關于金融消費者的投訴情況發(fā)現(xiàn)，客戶信息泄露成為了保險業(yè)的前三大“差評”之一，另外兩個為違規(guī)銷售和理賠難。

 

　　12月13日，奇安信集團副總裁梁志勇在接受新京報記者采訪時表示，現(xiàn)在數(shù)據(jù)安全事件發(fā)生的頻率越來越高，單個企業(yè)遭受的損失也越來越大。例如2017年美國的一家信用卡公司發(fā)生了1.5億張信用卡信息泄露，給民眾隱私和企業(yè)自身都帶來了很大傷害。

 

　　“數(shù)據(jù)泄露的渠道包括外部黑產(chǎn)攻擊以及內部威脅兩種，其中內部威脅實際上是數(shù)據(jù)安全很重要的一個場景。例如一些機構有非常有價值的數(shù)據(jù)，內部人員一般都有合法的身份，但他們若出于利益或其他目的，就會違規(guī)地使用數(shù)據(jù)，這類事件在一些有重要數(shù)據(jù)的企業(yè)里較易發(fā)生。”梁志勇表示。

 

　　“金融機構匯聚了大量公民信息和交易數(shù)據(jù)，并且保障著社會生產(chǎn)秩序的有序進行。因此對于金融機構來說，首要的是保證數(shù)據(jù)不發(fā)生泄露，其次要保證金融服務的穩(wěn)定性和持續(xù)性。網(wǎng)銀、電子支付、手機銀行也是普遍意義上金融機構易受到攻擊的應用，主要風險包括：網(wǎng)絡嗅探、拒絕服務、撞庫等網(wǎng)絡安全風險，數(shù)據(jù)防泄露、防篡改等數(shù)據(jù)安全風險以及內部數(shù)據(jù)竊取、惡意使用等業(yè)務風險。”12月16日，騰訊安全云鼎實驗室負責人董志強對新京報記者表示。

 

　　12月11日，央行科技司司長李偉在2019年“中國金融科技全球峰會”上表示，前不久對金融類APP開展標準測評和認證后，近期注意到幾部委開展的對APP風險的整治，其中銀行類APP是風險重災區(qū)，所以將加快推進有關工作，切實防范化解風險。

 

　　“隨著互聯(lián)網(wǎng)金融新的發(fā)展，風險也有了新的變化和特征。2019年的政府工作報告中，未曾提及互聯(lián)網(wǎng)金融，卻在金融領域提及23次‘風險’問題，可見，在新時期下，互聯(lián)網(wǎng)金融的風險以及犯罪問題仍然是對互聯(lián)網(wǎng)金融關注的重點。”中南財經(jīng)政法大學法治發(fā)展與司法改革研究中心教授郭澤強表示。

 

　　監(jiān)管要求下 金融機構加大移動端安全投入

 

　　“一直以來，金融行業(yè)都有自身需要面對的安全問題，如盜轉、盜刷等，這些問題在移動互聯(lián)時代更加明顯。此外，金融行業(yè)是對安全級別要求最高的行業(yè)之一，從身份認證方式、國家密碼算法使用、等級保護標準等各方面都有相應的要求。因此，近幾年金融機構對業(yè)務安全的需求也逐漸增長。”12月12日，北京芯盾時代科技有限公司副總裁蔡準在接受新京報記者采訪時表示。

 

　　“越來越多銀行的業(yè)務從PC端轉移到了移動端，尤其對中小銀行來說，線下營業(yè)廳的成本相對較難負擔，因此對手機端更加看重，許多業(yè)務都轉移到線上來做了，在手機端購物和轉賬的操作也越來越多。”據(jù)蔡準介紹，芯盾時代主要的客戶群就是金融機構客戶，“我們300多個客戶里有200多個客戶是銀行，還有不少是證券公司和保險公司。在移動應用的場景下，許多金融機構客戶需要在手機端擁有足夠安全的身份認證措施，這類認證措施在以前是U盾，但由于手機無法使用U盾，而人民銀行和銀監(jiān)會對5萬以上的轉賬額度又有相應的監(jiān)管文件要求，因此我們就提供了能夠符合監(jiān)管要求的多因素認證產(chǎn)品，讓APP的支付額度能夠從幾千元提高到二三十萬。”

 

　　12月13日，奇安信集團副總裁梁志勇對新京報記者表示，信息化建設與合規(guī)需求是企業(yè)投入安全建設的兩大原因。“現(xiàn)在很多企業(yè)都有做大數(shù)據(jù)、云計算的需求，而這些都附帶有安全的要求。此外，國家也提出了很多需要企業(yè)達標的硬性標準。而不同行業(yè)的企業(yè)，也需要達到各自不同的垂直性很強的行業(yè)標準，銀行、公安等系統(tǒng)都是如此。”

 

　　蔡準告訴記者，從2016年開始，銀監(jiān)會明確發(fā)文對普通轉賬要求進行短信驗證，并要求對短信驗證進行保護。2017年則對銀行的風控系統(tǒng)提出了要求，這導致了2018年和2019年成為了銀行風控系統(tǒng)建設的高峰期。與此同時，等保2.0標準也對移動終端提出了更高的要求體系�？梢钥吹礁鱾�機構都意識到了互聯(lián)網(wǎng)業(yè)務面臨的風險，需要金融機構采用對應的防控措施。

 

　　根據(jù)央行發(fā)布的“237號文”，央行對移動金融APP安全問題進行管理規(guī)范，主要從提升安全防護、加強個人金融信息保護、提高風險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律5個方面入手，并對備受關注的個人金融信息保護劃定了四大紅線。

 

　　多位金融行業(yè)受訪者對新京報記者表示，受各類標準出臺的影響，金融安全需求在近幾年持續(xù)增多，金融行業(yè)不斷在安全層面加大投入。

 

　　“我們在銀行成立的第一天開始，科技部下面下設了一個獨立的大數(shù)據(jù)中心，專職做數(shù)據(jù)的平臺建設工作，數(shù)據(jù)治理的工作，目前我們行里面自己的開發(fā)人員大概200人左右，大數(shù)據(jù)開發(fā)人員占到1/3，數(shù)據(jù)對我們來說是核心資產(chǎn)。此外，在信息安全上的投入，相對來說我個人認為也是比較大的，盡管現(xiàn)在我們全行的開發(fā)人員才200人，但是專職的信息安全人員已經(jīng)20人了，風險部門還有一個專職的反欺詐的團隊，他們更多是做業(yè)務安全，我們科技這邊更多的是做信息安全，幾個不同的層次強化數(shù)據(jù)安全的保護工作。”新網(wǎng)銀行信息科技部負責人周勇在新京報主辦的“金融進化論：2019新京報金融科技論壇”上表示。

 

　　“前不久央行發(fā)文指導互聯(lián)網(wǎng)金融協(xié)會啟動了金融APP的備案管理試點工作，簡單來說，就是對金融類APP開展標準測評和認證，實施動態(tài)監(jiān)測，及時處置相關風險。”央行科技司司長李偉12月11日表示，加快標準供給的同時，也在積極推進標準的落地實施，把金融科技標準實施與加強金融科技創(chuàng)新監(jiān)管相結合，通過標準、測評和認證三個環(huán)節(jié)的工作規(guī)范金融科技創(chuàng)新應用，提升金融科技的監(jiān)管效能。

 

　　銀行遭遇互聯(lián)網(wǎng)黑產(chǎn) 提高風控水平成課題

 

　　蔡準告訴新京報記者，安全公司為金融機構提供安全技術支持的具體方式是集成一個SDK到銀行的APP中，“我們SDK索要的權限只要銀行APP本身要求開啟的權限即可，沒有額外要求。”

 

　　根據(jù)中國信息通信研究院發(fā)布的《2019金融行業(yè)移動APP安全觀測報告》，截至2019年9月11日，該報告團隊從232個安卓應用市場中收錄了13.33萬款金融行業(yè)APP，發(fā)現(xiàn)有70.22%的金融行業(yè)APP存在高危漏洞，攻擊者可利用這些漏洞竊取用戶數(shù)據(jù)、進行APP仿冒、植入惡意程序、攻擊服務等，對APP安全具有嚴重威脅。其中Top3的高危漏洞均存在導致APP數(shù)據(jù)泄露的風險。

 

　　“從銀聯(lián)卡支付到銀聯(lián)手機閃付，再到銀聯(lián)云閃付APP以及二維碼支付，隨著時代的發(fā)展，目前風險也加速向線上移動端轉移，向支付業(yè)務全鏈條全方位滲透，由單一風險向各類風險交織并存發(fā)展，金融科技與新型風險相結合，催生團伙犯罪以及黑色產(chǎn)業(yè)鏈條，增大了風控的壓力。”12月14日，中國銀聯(lián)法律合規(guī)部總經(jīng)理鄭曉琴在互聯(lián)網(wǎng)安全與刑事法制高峰論壇上稱。

 

　　那么，金融機構面對的風險主要有哪些？

 

　　在騰訊安全云鼎實驗室負責人董志強看來，網(wǎng)點時代銀行業(yè)的安全防護主要體現(xiàn)在業(yè)務連續(xù)性安全保障，集中在基礎環(huán)境安全、網(wǎng)絡連通性安全、應用安全等領域。而從網(wǎng)銀時代開始，防止業(yè)務攻擊和數(shù)據(jù)篡改、越權等安全防護成為了安全防護重點，同時針對普通用戶銀行賬戶的犯罪越來越多，如轉賬類詐騙、“四件套”交易等，這都需要銀行方面有更強的監(jiān)管能力。

 

　　微眾銀行反欺詐負責人諸劼稱，薅羊毛對銀行和互聯(lián)網(wǎng)黑產(chǎn)來說都不是新鮮事，傳統(tǒng)銀行會遭遇套積分行為，互聯(lián)網(wǎng)黑產(chǎn)則會經(jīng)常薅電商的優(yōu)惠券。但當金融機構逐步向移動端轉移的過程中，銀行碰到互聯(lián)網(wǎng)黑產(chǎn)，就會出現(xiàn)問題。“銀行沒有見過這么大的賬號群控黑產(chǎn)群體，而黑產(chǎn)則在電商外又找到一塊大蛋糕。對于銀行傳統(tǒng)的注冊賬戶必須手機驗證和領券必須提供有效身份證的監(jiān)管機制，互聯(lián)網(wǎng)黑產(chǎn)往往可以使用大量手機號資源，接碼平臺以及大量身份信息去繞過，對此銀行只能采取新方式對抗。”

 

　　蔡準對新京報記者舉例稱，此前有一家銀行上線了其提供的風控系統(tǒng)后，在其APP的商城里攔截到一些商戶的訂單。“這些商戶在該銀行APP里出售商品時，使用同一個設備購買自己的商品‘刷單’，以這樣的方式來‘薅’銀行為商戶提供的交易補貼，該銀行此前承受了兩年的損失，采用了反欺詐系統(tǒng)后才發(fā)現(xiàn)問題。”

 

　　董志強表示，目前，隨著移動網(wǎng)絡時代開始，移動安全、云安全、數(shù)據(jù)安全成為防護重點，同時語音支付、人臉支付等方面，銀行也會面臨新的威脅，比如AI偽造語音、AI偽造人臉的攻擊，如何對此類新型攻擊做到有效防護，也是需要銀行等機構進行持續(xù)性研究。

 

　　“從2015年至今，金融機構與黑產(chǎn)的‘戰(zhàn)況’一直很膠著，這是因為移動互聯(lián)領域涉及很多風險點，而且相關的技術一直在升級，道高一尺魔高一丈的事情一直在發(fā)生。銀行除了自身的風控團隊外，還需要安全技術人員的配合，未來希望有更多的法律法規(guī)出臺可以保護金融機構的數(shù)據(jù)安全。”戴蒙表示。

 

“中國•成都五金機電指數(shù)”:http://www.peitelai.com