2020 金融科技热点展望
在新技术浪潮的推动下,全球金融科技蓬勃发展,深刻地改变着金融业传统的商业模式、运营模式和服务模式。
在“2020年的金融科技热点展望”中,我们重点选取了“打赢扶贫攻坚战,开启小康新时代”“强化科技监管,化解金融风险”“LEI赋码驶入快车道”“基础架构分布式转型速”“开放银行:乘风而起,驭势笃行”“‘5G+’让金融更智慧”“标准化引领区块链‘链’向未来”“趋利避害,防范新技术风险”“金融科技生态建设亟需良性发展”等话题进行预判分析,精彩内容将陆续推出,请您持续关注!
本期为系列专题第八篇“趋利避害,防范新技术风险”。
文 / 本刊记者 傅甜甜
近年来,金融科技日新月异,特别是大数据、云计算、人工智能、生物识别、区块链等新技术的不断涌现,实现了信息科技与金融业务的深度融合,推动了金融业务流程与商业模式的变革,在驱动业务数字化、打造智能商业银行、丰富认证支付场景、助力数据治理工作等方面发挥了重要作用。
但同时,我们还要清醒地认识到,事物存在两面性,任何一项新的技术都有其局限和不断发展完善的过程,如果不能正确认识并加以防范,就会给我们带来不可预知的风险和损失。例如:据美国《财富》杂志2019年12月12日报道,美国圣地亚哥的一家人工智能公司Kneron团队用一个特质的3D面具,成功欺骗了支付宝和微信的人脸识别支付系统,完成了购物支付程序;用手机屏幕上的一张照片,骗过了自助登机终端的传感器,进入荷兰最大的机场史基浦机场。这表明,采用“人工智能”的面部识别技术并非完美,完全有可能对用户隐私和资产安全带来威胁。
正如Gartner2020年十大战略性技术趋势报告中分析到:不断发展的人工智能技术可被持续用于提升各种应用场景中人类决策的能力,为商业界实现超自动化和使用自动化物件进行业务转型带来了良机,但同时也因为物联网、云计算、微服务及智能空间中高度连接的系统,增加了大量潜在攻击点从而造成安全漏洞,给安全团队与风险领导者带来了新的挑战。Gartner强调人工智能发展是主旋律,但是人工智能的健康发展,一定是治理和发展双轮驱动,关于人工智能安全要从三个关键视角来认识。一是
新技术蕴含的风险挑战
近年来研究新技术优势的多,探讨应用实践的多,对其发展过程面临的风险、挑战的分析和认知则不足。金融作为数字化程度非常高的行业,特别重视采用新技术为用户提供方便简捷、优质高效的服务,对新技术蕴含的风险比其他行业有更深刻、超前的认知。
中国银行副总工程师赵希同认为,人工智能等新技术催生了在线支付、网络借贷、量化交易、智能投顾、智能客服、精准营销、智慧合同等众多服务,对银行业务产生了颠覆性的影响,但也给信息安全和风险管理带来了挑战。概括起来,主要体现在四个方面:云计算技术对系统的高安全配置带来挑战;大数据对隐私保护和数据确权带来挑战;采用开源分布式体系架构对系统安全运行带来挑战;人工智能技术对后果处置和伦理认知带来挑战。
云计算把许多计算资源集合起来,通过软件实现自动化管理,能够让资源被快速提供,具有高灵活性、可扩展性和高性价比等特点,在方便用户不受时间和空间的限制获取资源时,也引入了新的安全风险。用户对数据的安全控制力度变弱,容易出现数据丢失和泄漏风险;身份验证机制容易出现薄弱环节,导致账户、服务和通信容易被劫持;多虚拟服务器共享着相同的配置,导致简单的错误配置都可能造成严重影响;账户用户仅使用前端界面,平台或者修复水平不透明,平台容易遭受病毒入侵和黑客攻击。关于云计算技术对系统的高安全配置带来挑战,赵希同解释到:“由于云计算平台采用大规模分布式存储和计算模式,服务用户众多、场景多样,其安全域无边界、虚拟化难监控、代码开源不自主等特点,致相对应的安全配置难度成倍增长,更容易遭受高持续性安全威胁。”
大数据从多个渠道大量汇聚,数据多样性、用户角色和需求的细化,导致难以准确指定用户可以访问的数据范围,增加了访问控制策略制定和授权管理的难度。大数据流动路径的复杂化,导致追踪溯源变得异常困难,对共享安全、非结构化数据库的安全防护以及数据泄露溯源技术提出更高要求。针对大数据对隐私保护和数据确权带来挑战,赵希同认为:“大数据时代的隐私保护不再是狭隘地保护个人隐私权,而是在个人信息收集、使用过程中保障数据主体的个人信息自决权利。实际上,个人信息保护已经成为一个涵盖产品设计、业务运营、安全防护等在内的体系化工程,不是一个单纯的技术问题。”
分布式系统拥有多种通用的物理和逻辑资源,可以动态分配任务,分散的物理和逻辑资源通过计算机网络实现信息交换,展现给用户的是一个有机统一的整体,具有可靠性高、成本低、兼容性好、计算速度快、通信便捷、便于资源共享等特点,但也面临通信网络饱和、信息丢失、数据容易被窃取等安全问题。对于采用开源分布式体系架构对系统安全运行带来挑战,赵希同介绍到:“分布式技术体系的广度和深度使得选型和集成的复杂度更高,集群规模指数增长,给传统的运维工具、流程、技能以及标准带来挑战;应用设计层面的微服务化、共享化、异步化对传统的IT架构规划、业务与系统建模乃至组织运营带来影响;虚拟化技术、多租户管理、容器安全、大数据隔离等技术引入,带来的不稳定性风险。”
由于人工智能算法的成熟性、稳定性问题,导致当部分重要决策由人工智能代替时,可能存在没有经过足够审查就有定论的风险,且后果难以追责。人工智能受限于“样本数据”的训练,导致其准确性取决于学习时所使用数据的准确性,以及特定的数据集是否能解决特定问题。针对人工智能技术对后果处置和伦理认知带来挑战,赵希同认为:“把所有事情交给人工智能决策,缺少必要的干预和控制,可能存在技术失控和误用,引发法律及道德风险,加速引爆社会伦理问题。”前不久,一款名为“ZAO”的换脸软件因用户授权协议引发质疑,使用该软件上传发布内容,意味着同意授予“ZAO”及其关联公司免费使用用户肖像权,存在用户隐私、伦理道德等问题。被管理部门约谈后,“ZAO”官方表态,不会存储个人面部生物识别特征信息,使用该软件不会出现支付风险。
多措并举加强新技术风险应对
《金融科技(FinTech)发展规划(2019~2021年)》明确提出“做好新技术金融应用风险防范”的任务,要求“正确把握金融科技创新与安全的关系,加强新技术基础性、前瞻性研究,在安全合规的前提下,合理应用新技术赋能金融产品与服务创新”。
华夏银行信息科技部吴永飞总经理结合工作实践,给出了新技术风险应对建议。面对新技术风险,落实人民银行要求,各金融机构在战略规划、组织管理、技术攻关等多方面发力,有效化解新技术自身发展不完善、应用过程不可控等问题,但在新技术的应用层面,还应以筑牢发展基础、专注优势应用、融合技术规避劣势等方式,切实保障金融业务的应用安全。
首先,要注重加强基础管控,构建全方位的新技术风险防范体系。实施与组织架构相配套的信息系统研发过程体系,落实从需求、设计、开发、测试、运维到下线的全生命周期应用安全管理,采用安全基线的方法,尽量在研发过程中暴露新技术自身的风险,在新技术的应用过程中实现技术风险可控;把好质量管控关口,持续开展安全技术检测和风险评估,防范新技术应用的带病投产和运行;强化数据安全管控,以系统数据安全分级管理为基础,细化数据用户角色与使用权限,防范新技术自身的风险,导致敏感信息泄露和引入违规外部数据;建立威胁情报的通报机制,持续开展框架、组件、插件、服务器端软件、中间件和工具软件的风险发现与漏洞修复,防范新技术应用环境风险;采用最小化的网络访问策略,采用机器学习技术,及时发现并限制异常用户的访问行为,收敛新技术应用风险敞口。
其次,要专注新技术的底层研究,采取成熟一点、试点一点、由点及面分级推进的策略。对于新技术,从认识、到熟悉、再到掌控,是有着事物发展的客观规律的,华夏银行通过成立专门的新技术研究中心,从新技术研究到应用逐步展开探索,从新技术的实现原理到应用场景的原型开发等多方面进行研究,从应用试点再到全面推广,防范因为对新技术认知不足,带来的未知风险,减少了试错成本,逐步摸索出了适合新技术引入的工作流程。
最后,要融合运用多种技术手段,有效化解新技术风险。通过综合运用各种新技术,各取所长,化解依靠单一信息系统、单一风控技术无法有效应对的风险。比如:建立威胁情报库,将内部风控积累的欺诈客户数据、安全运营识别的攻击数据和外部威胁情报数据进行整合,实现全局风控。
综上所述,在金融科技快速发展的今天,我们希望在各金融机构加快推动新技术应用时,也要能够适当放缓脚步,多留意关注一下新技术应用所带来的风险,从而更好地认识风险,分析风险和解决风险,只有这样,新技术才能在金融应用中走得更远,走得更实。