近日,國內互聯網安全問題反饋平臺烏云曝出某P2P平臺系統存在嚴重安全漏洞。在漏洞說明中,烏云稱“某P2P網貸系統任意上傳漏洞,涉及金錢交易數千萬”。根據烏云提供的信息,該漏洞屬高危害級別,目前“已交由第三方廠商(CNCERT國家互聯網應急中心)處理”,此外還有7家P2P平臺使用同一系統。
事實上,IT技術一直是P2P行業的短板,今年年初爆發的黑客連續攻擊事件也引起業界的注意,但對承載著與銀行金融業務類似的P2P系統,業內人士表示,不及百萬元的系統資金投入仍是不合理的低。
鑒于目前監管部門對商業銀行信息科技風險管理的要求,業內人士表示,隨著對P2P行業進行監管的要求提高,未來將導致行業洗牌。
P2P系統投入大多不超百萬
2014年元旦過后,P2P平臺人人貸、拍拍貸、好貸網先后遭遇黑客攻擊。而更多的平臺受攻擊的事件尚未見諸報端,金海貸技術總監王業鋒就曾向記者表示:“黑客的攻擊是每一個新平臺必經的洗禮。”
近日,烏云曝出某P2P平臺系統存在高危安全漏洞,稱“某P2P網貸系統任意上傳漏洞,涉及金錢交易數千萬”。媒體在后續的調查中發現,與出現漏洞的平臺使用同一系統的,還有多達114家網貸平臺。
在年初黑客密集攻擊后,眾多P2P平臺紛紛表示將要在技術安全上加大投入。記者采訪發現,目前P2P行業信息安全方面較最初確有提升,但仍與其業務的高風險性不相匹配。
某銀行技術部門員工楊先生告訴記者,銀行不會完全外購業務系統,“采購了大公司的模塊,銀行還會加一些定制的東西來確保安全性和個性化需求,有一個自主開發的過程”,此外,“為了保證采購模塊的安全性,各家銀行根據自己的需求都有一個安全標準,但驗收難度大且成本很高,所以一般采用權威大公司成熟、穩定的產品,比如IBM、Oracle,來保證產品的安全”。
然而,P2P業務與銀行業務多有相似之處。對草創未久的P2P平臺,大公司產品昂貴的價格足以讓大部分平臺望而卻步。
網貸之家首席運營官石鵬峰告訴記者,目前一般P2P平臺采用的系統價位在百萬級別以內。定制的大概幾十萬,便宜一點的不超過十萬元。這樣的投入對金融業務系統來說是很低的,所以安全級別大部分是不夠的。而實力比較強的IT公司,原本就在為傳統的、大的金融機構提供服務,報價也會比較高,比如做一套系統甚至可能上千萬元,這是目前大部分P2P平臺難以負擔的。
中匯在線運營總監潘春雨也表示:“很多P2P平臺在前期會選擇購買市場上已經成熟的軟件,當然這里的成熟只代表在市場上有一定占有率。”
石鵬峰介紹稱,目前做系統外包的公司有20家左右,最大的兩家是貸齊樂和融都,“這兩家都是伴隨著P2P的發展而成長起來的,成立時間只有一兩年時間”。
專家建議進行第三方安全認證
“系統安全、穩定,功能完善,用戶體驗好,這是每個P2P平臺都要考慮的。”潘春雨向記者表示,“但在選擇系統時,會在一定程度受資金的約束。不同的平臺根據自身的定位和發展會選擇不同的成本。網貸平臺一直以來都相對無門檻需要,在這種情況下,嘗試性進入這個行業的企業可能在初期都會把成本控制在較低水平。”
對經手大量金融數據,部分甚至從事類銀行業務的P2P平臺,技術安全的重要性不言而喻。且因為網貸平臺處于開放的網絡環境中,其對黑客、病毒的防御在某種意義上甚至比銀行還要復雜。
對傳統的金融機構,監管上都有針對信息技術方面的要求,比如,《商業銀行信息科技風險管理指引》規定:“商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃,確保配置足夠人力、財力資源,維持穩定、安全的信息科技環境。”
上述某銀行技術部門員工楊先生告訴記者,大銀行的技術實力可以從其CMMI評級(最高5)判斷,目前國有大行的CMMI評級多在CMMI2級、CMMI3級,高的達到CMMI4級。
對于目前的P2P行業,CMMI評級顯然不切實際,即使有一天監管部門明確了對信息技術方面的要求,達到監管門檻對一些平臺來說也并非易事。
“在限制逐步增加的情況下,最后會導致行業洗牌的發生,因為P2P企業要滿足監管需要,要逐步完善,加強軟硬實力,就需要增加成本,從草根平臺轉為高成本的行業。如果在沒有足夠盈利和資金支持的情況下,小的P2P平臺將是無法生存的。”潘春雨向記者分析表示。
中央財大金融法研究所所長、互聯網金融千人會會長黃震則認為,P2P平臺作為信息技術平臺,其技術安全是其基本的要求,應該讓第三方安全認證機構參與。安全都不能保障的平臺應該讓其下線,禁止其經營。這方面的要求,大可不必等著由銀監會提出,現在即可以由信息監管部門或地方金融辦提出。
