電信變革帶來(lái)的風(fēng)險(xiǎn)是否影響保險(xiǎn)信息安全
王薇 2011/11/01
據(jù)美國(guó)通信欺詐管制協(xié)會(huì)估計(jì),每年由于電信欺詐而導(dǎo)致的收入損失超過(guò) 600億美元。對(duì)于某些電信企業(yè)而言,欺詐造成的損失占到年收入的20-30%。在全球范圍內(nèi),電信欺詐已經(jīng)以不同形式存在了數(shù)十年。從20世紀(jì)70年代的付費(fèi)電話盜打,到20世紀(jì)80年代的干擾收費(fèi)表,再到20世紀(jì)90年代的電話卡欺詐,每種新一代電信技術(shù)均伴隨著新的風(fēng)險(xiǎn)源。
惠普新近發(fā)布的電信行業(yè)企業(yè)信息安全白皮書(shū)《保護(hù)下一代電信服務(wù)的安全性和可用性》(以下簡(jiǎn)稱(chēng)惠普《白皮書(shū)》)顯示:過(guò)去幾年來(lái),電信行業(yè)已開(kāi)始另一種主要業(yè)務(wù)與技術(shù)變革。這一變革趨勢(shì)在創(chuàng)造了新的收入來(lái)源的同時(shí),也帶來(lái)了重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。據(jù)記者了解,近兩年,保險(xiǎn)業(yè)與電信業(yè)的合作正在日益密切,電信變革帶來(lái)的風(fēng)險(xiǎn)勢(shì)必對(duì)保險(xiǎn)信息安全帶來(lái)影響。
遷移IP網(wǎng)絡(luò)的風(fēng)險(xiǎn)
電信企業(yè)只提供語(yǔ)音服務(wù)的時(shí)代已經(jīng)一去不復(fù)返了。手機(jī)市場(chǎng)的飽和與消費(fèi)者的融合需求正在迅速推動(dòng)向基于 IP的3G網(wǎng)絡(luò)的遷移,以用來(lái)提供語(yǔ)音、數(shù)據(jù)、互聯(lián)網(wǎng)、視頻及其他內(nèi)容的服務(wù)。
IBM對(duì)電信企業(yè)開(kāi)展的一項(xiàng)名為《運(yùn)營(yíng)商服務(wù)安全狀態(tài)》的調(diào)查發(fā)現(xiàn),到 2012年,超過(guò)85%的電信服務(wù)供應(yīng)商將完成這種遷移。作為該遷移的一部分,電信供應(yīng)商正將以前關(guān)閉的網(wǎng)絡(luò)連接至其他運(yùn)營(yíng)商網(wǎng)絡(luò)、專(zhuān)用網(wǎng)絡(luò)/企業(yè)網(wǎng)絡(luò)、內(nèi)容供應(yīng)商和公共互聯(lián)網(wǎng)。
惠普《白皮書(shū)》分析,該趨勢(shì)除了通過(guò)提供新服務(wù)來(lái)支持增加收入之外,也會(huì)將電信網(wǎng)絡(luò)暴露給基于IP的惡意軟件變種(如蠕蟲(chóng)、木馬等病毒)。多年來(lái),有線服務(wù)供應(yīng)商一直飽受這些惡意軟件的威脅。
據(jù)記者了解,以前保險(xiǎn)信息安全主要集中在磁盤(pán)、U盤(pán)、筆記本電腦等數(shù)據(jù)存儲(chǔ)介質(zhì)方面,數(shù)據(jù)存儲(chǔ)介質(zhì)的丟失或被盜,造成客戶(hù)資料被轉(zhuǎn)賣(mài)。隨著保險(xiǎn)公司和電信行業(yè)合作的開(kāi)展,黑客攻擊網(wǎng)站獲取保險(xiǎn)公司機(jī)密數(shù)據(jù)成為新的風(fēng)險(xiǎn)。
智能手機(jī)融入的風(fēng)險(xiǎn)
研究機(jī)構(gòu)明特爾發(fā)表的《2008 年移動(dòng)設(shè)備市場(chǎng)報(bào)告》表明,智能手機(jī)的銷(xiāo)售額在短短兩年內(nèi)漲幅就已超過(guò)150%,而同期標(biāo)準(zhǔn)手機(jī)在銷(xiāo)售額和市場(chǎng)占有率兩方面均有所下降。電信企業(yè)借助智能手機(jī),通過(guò)向現(xiàn)有客戶(hù)向上銷(xiāo)售多媒體數(shù)據(jù)服務(wù),可從每個(gè)客戶(hù)身上獲得更多收入。隨著智能手機(jī)將內(nèi)置信用卡芯片轉(zhuǎn)變?yōu)殡娮渝X(qián)包,電信企業(yè)可能會(huì)找到利用這一趨勢(shì)盈利的其他機(jī)遇。但是,這一技術(shù)融合也伴隨著同等的融合風(fēng)險(xiǎn)。此外,消費(fèi)者正使用智能手機(jī)來(lái)查看其銀行存款,并進(jìn)行電子商務(wù)交易,因而吸引了更多的移動(dòng)設(shè)備惡意軟件。
這一技術(shù)融合也伴隨著同等的融合風(fēng)險(xiǎn);萜铡栋灼(shū)》指出:智能手機(jī)引入了應(yīng)用媒介,支持終端用戶(hù)直接安裝軟件,同時(shí)也支持具有眾多已知漏洞的操作系統(tǒng)和協(xié)議。此外,消費(fèi)者正使用智能手機(jī)來(lái)查看其銀行存款,并進(jìn)行電子商務(wù)交易,因而吸引了更多的移動(dòng)設(shè)備惡意軟件。
這一風(fēng)險(xiǎn)也值得保險(xiǎn)業(yè)警惕,目前已有許多保險(xiǎn)公司推出了智能手機(jī)短信服務(wù)。通過(guò)這項(xiàng)服務(wù),有的壽險(xiǎn)公司可以第一時(shí)間以手機(jī)短信的方式將生存給付提醒、分紅領(lǐng)取提醒、萬(wàn)能保險(xiǎn)結(jié)算利率公告、續(xù)期繳費(fèi)提醒、理賠結(jié)果通知等保單服務(wù)中的重要信息同步傳遞給客戶(hù)和代理人。如何防范移動(dòng)智能手機(jī)免遭惡意軟件的攻擊,成為保障保險(xiǎn)信息安全的新課題。
行業(yè)整合的風(fēng)險(xiǎn)
惠普《白皮書(shū)》判斷,隨著很多國(guó)家/地區(qū)移動(dòng)電話服務(wù)的普及率達(dá)到或超過(guò) 100%,一些電信企業(yè)正在收購(gòu)新興市場(chǎng)(亞洲、非洲和東歐)中的公司,以擴(kuò)大其影響范圍。技術(shù)融合是行業(yè)整合的另一驅(qū)動(dòng)因素。電信企業(yè)目前正在收購(gòu)相關(guān)公司,以實(shí)現(xiàn)其“四網(wǎng)(包含互聯(lián)網(wǎng)、電視、移動(dòng)和固定線路服務(wù))融合”的目標(biāo)。
行業(yè)整合在幫助電信領(lǐng)先企業(yè)擴(kuò)張的同時(shí),也導(dǎo)致了內(nèi)部欺詐和數(shù)據(jù)泄漏的情況上升。內(nèi)部欺詐涉及多種活動(dòng),諸如直接將服務(wù)應(yīng)用于交換機(jī)以繞過(guò)計(jì)費(fèi)系統(tǒng)、暫停生成使用跟蹤數(shù)據(jù)、或從計(jì)費(fèi)系統(tǒng)中刪除記錄等。保險(xiǎn)公司借助網(wǎng)絡(luò)開(kāi)展的網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù),也勢(shì)必受到信息安全的影響。
惠普《白皮書(shū)》表示,從歷史上看,檢測(cè)一直依賴(lài)于對(duì)計(jì)費(fèi)應(yīng)用程序及其他應(yīng)用程序的訪問(wèn)進(jìn)行監(jiān)控,但是收購(gòu)引發(fā)了新的復(fù)雜性。比如說(shuō),手機(jī)公司收購(gòu)了采用不同計(jì)費(fèi)系統(tǒng)的有線電視運(yùn)營(yíng)商。在此種情況下,在擁有獨(dú)立訪問(wèn)控制機(jī)制的應(yīng)用中,監(jiān)控運(yùn)營(yíng)商的活動(dòng)將變得更加困難。收購(gòu)之后緩慢的技術(shù)整合過(guò)程,也可能會(huì)導(dǎo)致中斷的用戶(hù)對(duì)敏感數(shù)據(jù)的持續(xù)網(wǎng)絡(luò)訪問(wèn)。
數(shù)據(jù)保留和監(jiān)管失察的風(fēng)險(xiǎn)
電信行業(yè)正在獲取更多的人口統(tǒng)計(jì)和交易數(shù)據(jù),以便了解客戶(hù)的使用偏好,執(zhí)行有針對(duì)性的向上銷(xiāo)售營(yíng)銷(xiāo)方案。保險(xiǎn)公司也期望通過(guò)這些數(shù)據(jù)來(lái)制定開(kāi)發(fā)和推廣戰(zhàn)略。對(duì)這一趨勢(shì),惠普《白皮書(shū)》也提示了風(fēng)險(xiǎn):這些信息除了提供有價(jià)值的消費(fèi)者感受之外,還使電信行業(yè)成為進(jìn)行身份盜竊的誘人目標(biāo)。同時(shí),它還迫使電信行業(yè)遵守行業(yè)強(qiáng)制命令(如 PCI及其他隱私權(quán)法)。
反恐是電信行業(yè)中長(zhǎng)期保留數(shù)據(jù)的另一個(gè)驅(qū)動(dòng)因素。通過(guò)對(duì)2004年馬德里列車(chē)爆炸案和2005年倫敦地鐵爆炸案進(jìn)行調(diào)查,官方強(qiáng)調(diào)了呼叫數(shù)據(jù)記錄的重要性,而這促成了歐盟數(shù)據(jù)保留指令的頒布。類(lèi)似的立法活動(dòng)也正在世界其他地區(qū)進(jìn)行。電信行業(yè)需要一種解決方案,該解決方案不僅需要有效存儲(chǔ)、查詢(xún)大量通話詳細(xì)記錄和互聯(lián)網(wǎng)流量,同時(shí)還需要能夠防止對(duì)相關(guān)信息進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。多數(shù)電信企業(yè)均為大型公共實(shí)體,他們已經(jīng)受《薩班斯 — 奧克斯利法案》、《巴塞爾協(xié)議Ⅱ》或其他國(guó)家/地區(qū)的類(lèi)似法規(guī)的約束。這些新的隱私權(quán)法和反恐法進(jìn)一步加劇了多數(shù)電信企業(yè)的現(xiàn)有負(fù)擔(dān)。
業(yè)務(wù)流程外包的風(fēng)險(xiǎn)
惠普《白皮書(shū)》預(yù)計(jì),隨著電信行業(yè)持續(xù)私有化,企業(yè)利潤(rùn)持續(xù)下降,全球競(jìng)爭(zhēng)將日益加劇。同時(shí),在任何經(jīng)濟(jì)衰退期間,全球范圍內(nèi)的電信企業(yè)均會(huì)嚴(yán)重受挫,因?yàn)橄M(fèi)者會(huì)選擇回避費(fèi)用昂貴的附加服務(wù)。這一運(yùn)營(yíng)成本壓力已迫使電信企業(yè)將客戶(hù)服務(wù)、后臺(tái)操作、人力資源及并非核心競(jìng)爭(zhēng)力的其他職能外包。除了預(yù)期的成本效益之外,業(yè)務(wù)流程外包已造成更多形式的電信欺詐和數(shù)據(jù)泄漏出現(xiàn)。
具體而言,兩個(gè)原因?qū)е峦獍蛻?hù)服務(wù)中心成為電信欺詐常見(jiàn)的目標(biāo)。首先,電信企業(yè)在其銷(xiāo)售和服務(wù)數(shù)據(jù)庫(kù)中集中了大量敏感客戶(hù)信息(財(cái)務(wù)和人口統(tǒng)計(jì)信息)。這就使得呼叫中心成為了數(shù)據(jù)泄漏的首要目標(biāo)。其次,呼叫中心的員工通常很年輕,經(jīng)驗(yàn)不足,待遇低,因此其流動(dòng)率較高。有犯罪組織團(tuán)伙通常將自己的人員安插在呼叫中心,賄賂員工泄露客戶(hù)數(shù)據(jù),或在執(zhí)行欺詐的過(guò)程中相互勾結(jié)。
據(jù)業(yè)內(nèi)人士介紹,隨著保險(xiǎn)業(yè)的快速發(fā)展,保險(xiǎn)數(shù)據(jù)管理已給各家保險(xiǎn)公司帶來(lái)巨大壓力。一些保險(xiǎn)公司正嘗試以外包方式破解數(shù)據(jù)管理難題,此方式一可節(jié)約成本,二可加快數(shù)據(jù)集中進(jìn)程。但數(shù)據(jù)外包可能引致的信息泄露風(fēng)險(xiǎn)需采取有效措施加以防范。
托管安全服務(wù)的風(fēng)險(xiǎn)
具有諷刺意味的是,托管安全服務(wù)在增加了網(wǎng)絡(luò)威脅的同時(shí),也為電信企業(yè)創(chuàng)造了收入的機(jī)遇。2007年度《IBM 運(yùn)營(yíng)商服務(wù)安全狀態(tài)》報(bào)告顯示,80% 以上的電信企業(yè)相信,到 2012年,云計(jì)算托管安全服務(wù)將成為主要的收入來(lái)源;萜铡栋灼(shū)》指出,雖然其看似矛盾,但這一趨勢(shì)是合理的。不同行業(yè)的企業(yè)正在面臨著日益嚴(yán)重的網(wǎng)絡(luò)犯罪威脅,這些企業(yè)將會(huì)發(fā)現(xiàn),構(gòu)建和維護(hù)用來(lái)保護(hù)自身的安全專(zhuān)業(yè)技術(shù)變得越來(lái)越困難。影響企業(yè)的外部威脅將會(huì)遍及由服務(wù)供應(yīng)商所擁有和托管的核心網(wǎng)絡(luò)。
電信企業(yè)在其下一代高帶寬網(wǎng)絡(luò)中將會(huì)擁有顯著提高的容量。與此同時(shí),他們也需要構(gòu)建用于托管和保護(hù)這些網(wǎng)絡(luò)的安全專(zhuān)業(yè)技術(shù)。因此,電信企業(yè)非常適于檢測(cè)和應(yīng)對(duì)針對(duì)其業(yè)務(wù)客戶(hù)的網(wǎng)絡(luò)威脅。
電信企業(yè)在成功啟動(dòng)托管安全服務(wù)方面,面臨著兩個(gè)障礙;第一,他們必須擁有保護(hù)其自身數(shù)據(jù)和網(wǎng)絡(luò)的良好記錄;第二,企業(yè)面臨著日益增加的內(nèi)部威脅,但是電信企業(yè)通常無(wú)權(quán)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。能夠成功建立信任,并為客戶(hù)的內(nèi)部和外部網(wǎng)絡(luò)提供安全管理服務(wù)的電信企業(yè),將具有明顯的競(jìng)爭(zhēng)優(yōu)勢(shì)。
保險(xiǎn)專(zhuān)業(yè)人士表示,目前國(guó)內(nèi)大部分的保險(xiǎn)公司在云計(jì)算方面還處于虛擬化階段,因此,首先要了解云計(jì)算,其次要思考云計(jì)算將會(huì)對(duì)保險(xiǎn)公司的業(yè)務(wù)有什么影響,再次要考慮IT技術(shù)對(duì)業(yè)務(wù)能夠有什么幫助。一些業(yè)內(nèi)人士對(duì)云計(jì)算托管安全表示了擔(dān)憂:“云計(jì)算的一個(gè)核心問(wèn)題是怎么解決安全性,因?yàn)閷?duì)于保險(xiǎn)公司來(lái)說(shuō),數(shù)據(jù)一旦丟失,將會(huì)造成巨大的信用危機(jī)。這不僅僅是要靠保險(xiǎn)自身,更多的還期待國(guó)家法律法規(guī)以及監(jiān)管部門(mén)的推進(jìn)。”
中國(guó)保險(xiǎn)報(bào)
相關(guān)閱讀: