在中国互联网金融企业家俱乐部成立一周年之际,由中国国际互联网金融博览会组委会、中国互联网金融企业家俱乐部、北邮在线互联网金融教育学院联合主办的“金融创新+实体经济论坛”2016年8月6日在中国国际展览中心老馆(静安庄)举行。
本次论坛中,青藤云安全合伙人兼副总裁郝东林先生就互联网金融与信息安全问题做了一番精彩的演讲。但由于时间关系,有些问题无法详细说明。会后,郝东林先生接受了新财网的一次专门访问,以下是具体采访内容:
新财网:郝总您好,刚才在台下听到您关于互联网金融与信息安全的演讲非常精彩。而且也确如您所说的那样,虽然近年来互联网的发展速度突飞猛进,但是对于网络安全的意识提升上显然无法与之匹配。您认为网络安全的标准是什么呢?
郝东林先生:谈到网络安全我们就要从两个维度来考虑:第一维度是企业角度,从企业来说,现状是互联网金融发展速度特别快,而绝大多数企业发展基本上都是业务导向,他们更重视业务成绩而忽视IT架构和安全问题。等到企业做大以后往往会出现问题,这时候再去亡羊补牢就会很被动。基于这点我们提出一个观点,任何一个企业特别是互联网金融企业,在发展之初就应该考虑到业务发展的同时,安全保护要怎么做,这两块一定是同步进行的。第二维度是有的企业自身安全做的不错,但是用户安全意识并不高,比如我刚才在演讲中提到的密码泄露问题,有些人说我自己没有泄露,那肯定是企业的问题。刚才演讲中说到通过社会工程学手段,密码是可以基于人的性格、习惯、知识结构等“猜”出来的,这种情况下责任是模糊的,而企业往往就背了黑锅。
所以从这点上来说,个人也需要安全意识。举个最简单的例子,多少人会定期更改密码,很多人都没有这个习惯。我们的研究认为每三个月就需要更改密码。还有就是很多人都存在QQ、微信、邮箱等等账号密码信息是完全一致的,现在有个专业词语叫“撞库”,很多信息都是这样泄露的。回到企业来说,现在企业有很多在后台把用户的账号密码用明文保存,这种情况有些人是不知道,有些人是知道不敢说,但它确实是存在的。一个互联网金融网站可能会有成千上万甚至数十万个用户数据,如果采用这种保存方法,一旦网站被黑客侵入,所有信息将全部面临泄露风险。而互联网金融网站的核心资产正是这些核心数据,所以对于互联网公司,如何保护好核心数据,才是他们应该重点考虑的问题。但遗憾的是目前很多企业恰恰没考虑到这些核心数据对他们今后发展的重要性。
新财网:您认为今后的互联网金融发展会是怎样的一个趋势呢?
郝东林先生:说到这点我们就要先说说传统金融,传统金融可以说是监管最为严格的,有银监会、证监会、保监会、人民银行的监管。而互联网公司在前几年实际上是缺乏监管的。例如之前曾出现过问题的携程网,实际并未受到惩罚措施。在2013-2015年的互联网金融,乱象频发,完全可以用‘野蛮生长’来形容。之前有人曾问我既然这么乱,为什么监管机构不严加管理而采取一种有些放任的管理方法呢?为什么不会一刀切呢?实际上这跟李克强总理的“互联网+”“鼓励创新”两个理念有关。我们知道创新与监管,在某些时候是会有冲突的。
所以之前采用宽松政策,是为了鼓励发展,同时可以让所有问题都暴露出来,然后在出台政策统一规范。实际上今年人民银行已经出台了一系列监管措施,所以2016年不出意外的话互金会有一次大洗牌,并且监管会逐渐趋紧。我认为在未来的1-3年,最多不超过5年的时间里,目前存在的各类互联网金融公司会出现大者恒大的现象,如陆金所,蚂蚁金服等巨头企业,他们已经一骑绝尘而去,而身后的中小企业与他们的差距不断拉大。
中小互联网公司想脱颖而出,怎么办?一个方法:技术创新。为什么是技术创新而不是业务创新呢?我们都知道我国企业有一个“特长”就是“山寨”。一个好的业务模式是没有壁垒,很容易被模仿并推广,所以没有核心竞争力。而技术领域超越是需要时间的 比如我们的青藤云安全,阿里目前的一款产品也是在学习我们的产品。对我们来说,核心竞争力就是技术壁垒。我们的技术壁垒大概有12-18个月的时间,这就要求我们必须在这段时间站稳脚跟,寻求新的突破,把优势不断扩大。否则一旦被成功模仿,我们将失去优势,也就失去了与巨头企业对抗的资本了。这就是目前互联网行业现状,业务创新必须依靠技术领先才能巩固地位。任何公司想做大做强,都离不开这一点。