AI时代金融信息安全攻防战危情:谁泄露了我的数据?!

国际新闻 浏览(1427)

例如,刚刚从市场上出现并受到市场反响的“ZAO”变脸APP在隐私协议中强制执行用户授权,并不保证用户脸部信息的安全性。

“在大数据和人工智能时代,每个人都在做开放式银行业务。我担心银行系统的安全性可以保证。出于安全考虑,公安部已经组织了“保护网”和“净网”的行动。我们关闭了很多系统。否则,它们都是开放的,安全性在哪里?“一家国有大银行信息技术部门负责人告诉”21世纪经济报道“。

开放银行涉及作为数据提供者的银行和第三方机构,任何一方都存在数据保护方面的缺陷,这增加了数据泄露的风险。银行不仅面临着这样的风险,而且数据保护意识在金融形式方面的弱势并不少见。

中国信息技术研究院云计算与大数据研究所财务与技术部副主任杨仁在8月31日于上海举行的2019年世界人工智能大会“信息安全AI时代”论坛上表示金融本身与数据密切相关。业界,所有业务基本上都是基于数据应用。因此,财务安全,数据安全和信息安全是不可分割的。但是,在许多金融服务的过程中,基础数据面临着越来越多的安全风险。

经纪人的经历

何阳谈到了一个真实案例:信息通信研究所是工业和信息化部直属的一个单位,因此拥有国家电信反欺诈平台。目前,手机用户经常会遇到短信和电话骚扰。该平台主要负责根据用户投诉将一些被标记的用户列入黑名单。但不久前,信息和通信研究所前往几家经纪公司进行调查,发现了一个常见问题。也就是说,一些注册某些经纪应用程序的用户会立即收到消息“是否有必要购买股票或是否有股票?”但是,这些经纪业务部门对此并不了解,但问道:“我们的用户信息是如何泄露的?”

在自我审查过程中,经纪人怀疑一种可能性是运营商和渠道泄露信息,另一种可能是移动终端的问题。由于智能手机短信与传统功能机不同,短信也是智能界面,许多智能应用都可以通过短信加载。 APP本身也可能存在漏洞,犯罪分子将通过手段拦截它们。甚至有经纪人向信息和通信研究所提供反馈,称有人在暗网络上销售用户信息。

“从一系列事件中,我们可以看出当前的信息安全形势非常严峻。”何阳说。

信息安全问题阻止了一些金融机构将数据转移到“云”。微软人工智能首席科学家,Citadel首席人工智能官邓立在圆桌会议讨论中透露,一些金融公司不愿意将数据放入云端。问题的关键在于云对信息没有完美的保护。因此,云服务提供商应确保将信息泄露的可能性降低到几乎为零,以避免客户流失。

Hehe Information的联合创始人,Qixinbao的CEO陈青山表示,物理层的数据中心可能有漏洞,移动层APP和基于Web的服务在网络层或PC主机,甚至应用程序层可能有类似的问题。 “由于国内外网络连接的复杂性,网络对信息安全威胁的攻击和防御将变得越来越激烈。”

根据其介绍,一旦金融行业APP的应用层存在漏洞,外部攻击者就可以钻取此漏洞并泄漏有关整个系统的信息。整个系统的安全性由各部分的安全性决定,这有点类似于“桶理论”。

有时,应用程序层开发会考虑用户体验,或者开发人员的习惯,或者测试不到位,那么一旦APP的API接口出现问题,系统风险就会非常大。这对整个开发团队的质量和技能以及整个过程的安全保障提出了挑战。

善用“白帽子”

陈青山在接受“21世纪经济报道”采访时表示,互联网行业发展太快,监管往往跟不上情况。互联网企业网络安全人才储备和人员安全意识远远落后于快速发展的势头。陈青山表示,互联网公司应加强自身的安全机制,或与第三方安保公司合作筹集相关预算,并利用“白帽”机制进行网络攻击,提高内部人员的安全和警惕性。

所谓的“白帽子”是黑客的积极作用。他们会发现互联网公司的漏洞,通知他们攻击,并进行恢复备份并将其提交给易受攻击的平台。

这个“白帽子”是这样做的,不是为了公司的感谢费,主要是为了展示自己的技术并获得成就感。

不仅是外部攻击,而且APP可能存在隐私政策问题。不正确地获取和保留用户的个人信息将触及合法的红线。今年7月,工业和信息化部通知了10个没有隐私政策的APP,20个非法收集的个人信息。

与此同时,工业和信息化部正式发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》,将部署为期一年的专项行动,提高行业网络数据安全保护能力,并明确提出要完成所有基础电信企业和50个关键互联网公司将于今年10月底上市。并对200个主流应用进行数据安全检查。

例如,刚刚从市场上出现并受到市场反响的“ZAO”变脸APP在隐私协议中强制执行用户授权,并不保证用户脸部信息的安全性。虽然它声称不存储客户肖像信息,但支付宝也表示不能用于支付,但可能仍存在信息安全风险。

“最不可分割的政府监管是标准。这个标准实际上是第一个。这个行业一开始可能有各种各样的技术。当它真正工业化的时候,标准是非常重要的。去年,我还参加了央行的人工智能标准制定工作。我当时选择的一个领域是支付领域的生物识别标准。何阳说:“现在我觉得这个领域是可以预见的。”

去年,欧盟推出了gdpr([0x9a8b])。中国已经出台了《网络安全法》,但有关数据安全保护和个人信息安全的法律仍在制定之中。

“在目前的市场环境下,需要新的标准。虽然欧盟的gdpr可能会给公司的运营带来一些麻烦,但采取这种行动的原因是必须加以规范和重新发展。现在,人工智能的发展,特别是在人脸识别和人脸支付方面,已经达到了相应的标准和规范。如果没有这样的标准和规范,我们都喜欢人工智能乐队。说到便利,它还将面临巨大的安全风险。

(文章来源:21世纪商业先驱报)

(编辑:DF512)

——