2020 金融科技熱點展望
在新技術浪潮的推動下,全球金融科技蓬勃發展,深刻地改變著金融業傳統的商業模式、運營模式和服務模式。
在“2020年的金融科技熱點展望”中,我們重點選取了“打贏扶貧攻堅戰,開啟小康新時代”“強化科技監管,化解金融風險”“LEI賦碼駛入快車道”“基礎架構分佈式轉型速”“開放銀行:乘風而起,馭勢篤行”“‘5G+’讓金融更智慧”“標準化引領區塊鏈‘鏈’向未來”“趨利避害,防範新技術風險”“金融科技生態建設亟需良性發展”等話題進行預判分析,精彩內容將陸續推出,請您持續關注!
本期為系列專題第八篇“趨利避害,防範新技術風險”。
文 / 本刊記者 傅甜甜
近年來,金融科技日新月異,特別是大數據、雲計算、人工智能、生物識別、區塊鏈等新技術的不斷湧現,實現了信息科技與金融業務的深度融合,推動了金融業務流程與商業模式的變革,在驅動業務數字化、打造智能商業銀行、豐富認證支付場景、助力數據治理工作等方面發揮了重要作用。
但同時,我們還要清醒地認識到,事物存在兩面性,任何一項新的技術都有其侷限和不斷髮展完善的過程,如果不能正確認識並加以防範,就會給我們帶來不可預知的風險和損失。例如:據美國《財富》雜誌2019年12月12日報道,美國聖地亞哥的一家人工智能公司Kneron團隊用一個特質的3D面具,成功欺騙了支付寶和微信的人臉識別支付系統,完成了購物支付程序;用手機屏幕上的一張照片,騙過了自助登機終端的傳感器,進入荷蘭最大的機場史基浦機場。這表明,採用“人工智能”的面部識別技術並非完美,完全有可能對用戶隱私和資產安全帶來威脅。
正如Gartner2020年十大戰略性技術趨勢報告中分析到:不斷髮展的人工智能技術可被持續用於提升各種應用場景中人類決策的能力,為商業界實現超自動化和使用自動化物件進行業務轉型帶來了良機,但同時也因為物聯網、雲計算、微服務及智能空間中高度連接的系統,增加了大量潛在攻擊點從而造成安全漏洞,給安全團隊與風險領導者帶來了新的挑戰。Gartner強調人工智能發展是主旋律,但是人工智能的健康發展,一定是治理和發展雙輪驅動,關於人工智能安全要從三個關鍵視角來認識。一是 保護AI驅動的系統,為AI訓練數據、訓練管道和機器學習模型提供安全;二是利用AI加強安全防禦,使用機器學習來解讀模式、發現攻擊,並使網絡安全流程的某些部分實現自動化;三是預料攻擊者惡意使用AI的情形,重在識別攻擊並防禦攻擊。
新技術蘊含的風險挑戰
近年來研究新技術優勢的多,探討應用實踐的多,對其發展過程面臨的風險、挑戰的分析和認知則不足。金融作為數字化程度非常高的行業,特別重視採用新技術為用戶提供方便簡捷、優質高效的服務,對新技術蘊含的風險比其他行業有更深刻、超前的認知。
中國銀行副總工程師趙希同認為,人工智能等新技術催生了在線支付、網絡借貸、量化交易、智能投顧、智能客服、精準營銷、智慧合同等眾多服務,對銀行業務產生了顛覆性的影響,但也給信息安全和風險管理帶來了挑戰。概括起來,主要體現在四個方面:雲計算技術對系統的高安全配置帶來挑戰;大數據對隱私保護和數據確權帶來挑戰;採用開源分佈式體系架構對系統安全運行帶來挑戰;人工智能技術對後果處置和倫理認知帶來挑戰。
雲計算把許多計算資源集合起來,通過軟件實現自動化管理,能夠讓資源被快速提供,具有高靈活性、可擴展性和高性價比等特點,在方便用戶不受時間和空間的限制獲取資源時,也引入了新的安全風險。用戶對數據的安全控制力度變弱,容易出現數據丟失和洩漏風險;身份驗證機制容易出現薄弱環節,導致賬戶、服務和通信容易被劫持;多虛擬服務器共享著相同的配置,導致簡單的錯誤配置都可能造成嚴重影響;賬戶用戶僅使用前端界面,平臺或者修復水平不透明,平臺容易遭受病毒入侵和黑客攻擊。關於雲計算技術對系統的高安全配置帶來挑戰,趙希同解釋到:“由於雲計算平臺採用大規模分佈式存儲和計算模式,服務用戶眾多、場景多樣,其安全域無邊界、虛擬化難監控、代碼開源不自主等特點,致相對應的安全配置難度成倍增長,更容易遭受高持續性安全威脅。”
大數據從多個渠道大量匯聚,數據多樣性、用戶角色和需求的細化,導致難以準確指定用戶可以訪問的數據範圍,增加了訪問控制策略制定和授權管理的難度。大數據流動路徑的複雜化,導致追蹤溯源變得異常困難,對共享安全、非結構化數據庫的安全防護以及數據洩露溯源技術提出更高要求。針對大數據對隱私保護和數據確權帶來挑戰,趙希同認為:“大數據時代的隱私保護不再是狹隘地保護個人隱私權,而是在個人信息收集、使用過程中保障數據主體的個人信息自決權利。實際上,個人信息保護已經成為一個涵蓋產品設計、業務運營、安全防護等在內的體系化工程,不是一個單純的技術問題。”
分佈式系統擁有多種通用的物理和邏輯資源,可以動態分配任務,分散的物理和邏輯資源通過計算機網絡實現信息交換,展現給用戶的是一個有機統一的整體,具有可靠性高、成本低、兼容性好、計算速度快、通信便捷、便於資源共享等特點,但也面臨通信網絡飽和、信息丟失、數據容易被竊取等安全問題。對於採用開源分佈式體系架構對系統安全運行帶來挑戰,趙希同介紹到:“分佈式技術體系的廣度和深度使得選型和集成的複雜度更高,集群規模指數增長,給傳統的運維工具、流程、技能以及標準帶來挑戰;應用設計層面的微服務化、共享化、異步化對傳統的IT架構規劃、業務與系統建模乃至組織運營帶來影響;虛擬化技術、多租戶管理、容器安全、大數據隔離等技術引入,帶來的不穩定性風險。”
由於人工智能算法的成熟性、穩定性問題,導致當部分重要決策由人工智能代替時,可能存在沒有經過足夠審查就有定論的風險,且後果難以追責。人工智能受限於“樣本數據”的訓練,導致其準確性取決於學習時所使用數據的準確性,以及特定的數據集是否能解決特定問題。針對人工智能技術對後果處置和倫理認知帶來挑戰,趙希同認為:“把所有事情交給人工智能決策,缺少必要的干預和控制,可能存在技術失控和誤用,引發法律及道德風險,加速引爆社會倫理問題。”前不久,一款名為“ZAO”的換臉軟件因用戶授權協議引發質疑,使用該軟件上傳發布內容,意味著同意授予“ZAO”及其關聯公司免費使用用戶肖像權,存在用戶隱私、倫理道德等問題。被管理部門約談後,“ZAO”官方表態,不會存儲個人面部生物識別特徵信息,使用該軟件不會出現支付風險。
多措並舉加強新技術風險應對
《金融科技(FinTech)發展規劃(2019~2021年)》明確提出“做好新技術金融應用風險防範”的任務,要求“正確把握金融科技創新與安全的關係,加強新技術基礎性、前瞻性研究,在安全合規的前提下,合理應用新技術賦能金融產品與服務創新”。
華夏銀行信息科技部吳永飛總經理結合工作實踐,給出了新技術風險應對建議。面對新技術風險,落實人民銀行要求,各金融機構在戰略規劃、組織管理、技術攻關等多方面發力,有效化解新技術自身發展不完善、應用過程不可控等問題,但在新技術的應用層面,還應以築牢發展基礎、專注優勢應用、融合技術規避劣勢等方式,切實保障金融業務的應用安全。
首先,要注重加強基礎管控,構建全方位的新技術風險防範體系。實施與組織架構相配套的信息系統研發過程體系,落實從需求、設計、開發、測試、運維到下線的全生命週期應用安全管理,採用安全基線的方法,儘量在研發過程中暴露新技術自身的風險,在新技術的應用過程中實現技術風險可控;把好質量管控關口,持續開展安全技術檢測和風險評估,防範新技術應用的帶病投產和運行;強化數據安全管控,以系統數據安全分級管理為基礎,細化數據用戶角色與使用權限,防範新技術自身的風險,導致敏感信息洩露和引入違規外部數據;建立威脅情報的通報機制,持續開展框架、組件、插件、服務器端軟件、中間件和工具軟件的風險發現與漏洞修復,防範新技術應用環境風險;採用最小化的網絡訪問策略,採用機器學習技術,及時發現並限制異常用戶的訪問行為,收斂新技術應用風險敞口。
其次,要專注新技術的底層研究,採取成熟一點、試點一點、由點及面分級推進的策略。對於新技術,從認識、到熟悉、再到掌控,是有著事物發展的客觀規律的,華夏銀行通過成立專門的新技術研究中心,從新技術研究到應用逐步展開探索,從新技術的實現原理到應用場景的原型開發等多方面進行研究,從應用試點再到全面推廣,防範因為對新技術認知不足,帶來的未知風險,減少了試錯成本,逐步摸索出了適合新技術引入的工作流程。
最後,要融合運用多種技術手段,有效化解新技術風險。通過綜合運用各種新技術,各取所長,化解依靠單一信息系統、單一風控技術無法有效應對的風險。比如:建立威脅情報庫,將內部風控積累的欺詐客戶數據、安全運營識別的攻擊數據和外部威脅情報數據進行整合,實現全局風控。
綜上所述,在金融科技快速發展的今天,我們希望在各金融機構加快推動新技術應用時,也要能夠適當放緩腳步,多留意關注一下新技術應用所帶來的風險,從而更好地認識風險,分析風險和解決風險,只有這樣,新技術才能在金融應用中走得更遠,走得更實。
閱讀更多 金融電子化 的文章
