新浪财经讯 5月24日消息,由亚洲银行家举办的第二届“全球未来金融峰会”暨第十九届“亚洲银行家峰会”今日开幕,本次峰会聚焦数字经济领导力、重塑全球交易、网络安全和“一带一路”四大行业变革型领域。美国信息产业机构(USITO)政策事务总监Ying Han、法国兴业银行全球首席信息安全官与董事会成员Stephane Nappo、RovaZ.com全球网络安全战略专家Roeland Van Zeijst与Wan Zulhamli BiWan Abdul Rahman参加“数字时代的网络安全”分论坛讨论。
以下为发言实录:
David Gyori:现在介绍一下我们的发言嘉宾。今天我们谈的是网络安全。我们有四位发言人,简单地介绍一下,第一位是Ying Han,美国信息产业机构(USITO)政策事务总监;
第二位是Stephane Nappo,法国兴业银行全球首席信息安全官与董事会成员;
第三位是Roeland Van Zeijst,RovaZ.com全球网络安全战略专家、前新加坡国际刑警组织数字犯罪警官,他是银行业网络安全的专家,主要负责南美、欧洲和俄罗斯、非洲的市场,他也是风险监管的专家,网络安全保护的专家,同时也是远程银行业服务的专家。
第四位发言人是Roeland Van Zeijst,他是之前的数字犯罪办公室的专家,主要负责数字犯罪方面的工作,也是这方面的专家,他有一个非常前瞻性的工作,尤其是在他职业生涯中,比如说,建立了荷兰的第一个数字犯罪相关的平台,而且他也获得了荷兰国家电台的奖项。虽然今天谈的是网络安全的问题,但是他做了很多的研究工作,尤其是在人工智能方面的工作,这是非常重要的一部分内容,他不仅仅代表的银行业,其实我们要和人工智能开展合作。因此,从Roeland那儿我们可以获得一个非常广阔的视野。
第五位发言嘉宾是Wan Zulhamli BiWan Abdul Rahman,他是战略研究以及顾问部的同事,在来自于马来西亚,是马来西亚科技和创新部工作,但是他在游戏行业也有非常丰富的经验,包括IT的安全以及系统整合方面,同时他也在不同的政府组织部门工作过,他是一个战略顾问,为网络威胁提供战略的服务,也是国家网络安全的机构,也就是马来西亚的一个国家网络安全的机构开展过合作,他主要是关注和人相关一些信息处理的技术。从他的观念分享中,我们可以更好的了解马来西亚网络安全的状况,也不仅仅限于马来西亚。所以我们今天四位发言人都非常得接触,现在我想跟我们的听众提一个问题,其实这个问题也是很简单,你如何看待在未来的五年时间里,网络安全的威胁在银行里面有什么样的发展方向?有巨大的上升还是说处于一种停滞的状态,下降的趋势,逐渐下降还是迅速下降的趋势?我想了解你们的观点,也就是网络安全的威胁在未来的银行业是什么样的发展方向?谁认为网络安全的威胁会在未来五年时间里面急剧下降,尤其在银行业,如果认为是的话请举手,第二个是会有下降,停滞或者是保持目前状态,会有所上升,大大上升。
好,所以大部分的人都举手了,因此,我们可以看到,80%的受访者,也就是我们的听众认为,网络安全的威胁在未来五年时间里有急剧的上升,还是有些人认为,网络安全对银行的威胁,在未来五年时间里会大大的下降或者说有所下降,其实我对这个观点也是非常有兴趣的。随后我们可以就这些进行一些详细的挖掘,我觉得他们还是非常勇敢的,因为他们和其他人的观点不太一样,他们相当于少数民族一样,有自己的观点,和大众的观点不一样。
现在我有一个开放性的问题,在聆听四位发言人发言之前,我会提一个开放性的问题,这个问题请你们和我们分享一下,你认为银行家或者说政府的决策者可以根据你们自己的一些背景,这是目前在IT安全以及网络安全方面,银行或者说政府机构做了哪些正面的事情,现在我们来谈谈这样一些事情,您可以选择性的回答。
Roeland Van Zeijst:我先说一下,我们刚才听到了他们的发言,他的发言非常精彩,现在在这个领域里面还有很多未确定的事情,对这些未知的事有一些盲点,或者说这些盲点在存在,对不同的觉察,我们了解到这是风险,没觉察到的话,这是非常得危险,政府机构,包括金融机构也知道有风险,但是他们也知道有不知道的东西。因此,他们需要更好的了解这一点,并且能够更好的处理这些问题。也就是说,就好像这些金融机构的董事会一样,或者说各个部门可以就此展开讨论,大概几年之前,IT的安全问题,把它提到董事会的层面可能很难,CSO或者CIO的问题,在运算的问题上面,我们说可能更便宜一点,但是我们需要在这方面更多的投入,当然也有一些其他的挑战。但是我们知道要为此做好准备,所以这是一个非常健康的发展趋势。我想在过去的一段时间都是这样。
David Gyori:现在我们是在一个觉察的阶段,意识到了,开始有意识了,这是一个正面的趋势是吗?还有其他的回答吗?
Wan Zulhamli BiWan Abdul Rahman:我同意刚才他所说的,其实安全的问题,不仅仅是IT部门的问题,它涉及到更多的部门,任何机构的高管他们也应该能够起到重要的作用,比如说,形成一个战略来应对安全的问题,要提供一个技术,而且这个技术要给不同的业务部门提供支持,万维网上我们要跟上技术发展的趋势,否则就没有办法在这个竞争中生存下来。还有一点,我们朝着更先进的技术,比如说IoT物联网的技术以及金融技术,包括工业4.0等等方向发展。所以我们要很好的应对现在所面临的一些脆弱性的问题,如果不能很好应对的话,就能把这些问题带到未来,其实这是一个董事会应该考虑的问题,网络安全应该是在董事会每年战略中讨论的话题。
David Gyori:是的,我们已经有很大的觉察,也了解到网络安全以及IT的安全,上升到了董事会层面或者成为战略性的层面。
Ying Han:我认为还是可以的,我想补充一点,从我们的观察来说,我是来自于技术行业,我们提供服务或者是产品来支持银行业、金融业,我们的观察银行业以及金融行业是在网络安全风险方面最具有觉察性的,这是因为这个行业对安全的要求需要一些无缝的链接,尤其是在数据保护方面,保护最终用户的信息。从技术角度来说, 我们在谈到网络安全风险的时候,其实大部分的时候,我们在这个领域有非常严格的法律法规监管,这是因为这个行业的敏感性以及这个行业的重要性,网络安全的重要性,很多相关的政策和监管,其实也是和其他领域相关的,其他的领域也认识到网络安全的风险。因此,金融行业在这方面确实是做得不错的,而且他们有能力来推动这些政策在其他行业落地。
David Gyori:在这个方面来说,银行业是处在一个非常不错的地位,可以对其他行业起到好的引领的作用。
Stephane Nappo:我也想补充,我认为其实这是一个全球的话题,它并不仅仅是一个区域的话题,现在大部分的人,我们都可以联网了,因为全球超过51%的人已经联网了,其实这是和我们所有人相关的,并不仅仅和金融相关,并不是从银行角度来说是最重要的,同时在我们生活方面也是息息相关的,今天我们讨论的这个话题也是主要的话题,和世界经济论坛上所讨论的,我们现在人类所面临的主要风险是什么,其实这是一个人类范围内要讨论的话题,因为我们人类在进入一个新的数字化的时代。
David Gyori:是,除了银行家们本身,客户他们也在这方面获得了一些教育,我们已经听到了四点,这四点现在在不断的改进,而且是朝着正确的方向发展,这是让人非常振奋的。现在我也想让第一位发言人,Abdul先生请你发言。
Wan Zulhamli BiWan Abdul Rahman:早上好,之前主持人已经说到了,我是来自于马来西亚科技创新部门下属网络安全公司战略研究及咨询部门的负责人,我负责的不仅是战略,还有政策等等,在政府以及需要去执行的一些政策。今天因为我们的主题是跟数据相关,所以我演讲的重点是在网络安全方面,尤其是在网络犯罪方面所使用到的一些工具,待会儿会给大家讲到,我们来看一下第一张。我在进入主题之前,我想让大家注意到,我们现在的网络安全领域的形势,大家可以看到图上我们展示的是一些新的网络领域方面的技术,比如说IoT、物联网、工业4.0、大数据、区块链、人工智能等等,这些刚才谈到的新技术,它是承载于现有技术基础之上的,它也是在科技金融发展之上的。所以在未来我们可以看到,其实不同的技术迭代会给我们带来更多的挑战和问题。很多年前我们看到单个的小规模的一些犯罪的实施者,他们都是一些独立的个体,通过单独的来实施这样的袭击,而在时间的演进过程当中,他们所实施的危害是规模较小的,他们为什么要实施这样的危害呢?他们想要出名,他们有一些病毒或者一些恶意软件之类的,进行网络犯罪的实施,随着时间的演进,我们攻击规模越来越大。
比如说,几年前大家可能记得一些例子,我们经常听到网络战这样的说法,是国家对国家之间的,如果大家有看过一些电影,这是一个很有名的电影,这个电影的背景用IT的技术来袭击美国,这样的技术让这样的国家不堪重负,而引起了网络战争。所以几年前我们就有相关的电影来展示网络袭击的种种危害。但是从商业的角度,我们现在已经看到,2018年网络犯罪在全球危险的排名当中,排名第二。五年之前,它排名第五,但是现在它已经到了第二的位置。所以我们可以看到,网络犯罪的演进是非常快的。而令人惊讶的是,在这个调查当中,54%来自网络袭击的危害,现在是没有受到人们的重视。所以很多企业他们不知道面对网络犯罪或者网络安全领域事件的时候,应该采取什么样的措施去进行响应,没有正确的认识到网络犯罪的危害。现在我们可以看到,这个机构调研的一个结果,也就是在2017年,泄露的一个数据,尤其在金融行业,我们看到金融行业的数据泄露是最严重的。
这张幻灯片上看到的是当代的威胁,当代的网络袭击,它的复杂性,不论从攻击界面、威胁缘起方或者网络犯罪带来的经济损失来,我们的危害都是非常大的,就我们的信用卡数据流失所带来的危害,每一千个账户当中它的危害达到50美分到20美元,所以我们要看一下这些数据是非常严重的。
我现在给大家展示的这张图是为了说明我们网络犯罪带来的经济损失在剧增,大家可以看到,第一条新闻题目,他说全球范围来说,网络犯罪带来的经济损失已经从2015年3万亿美元到了2021年所预计的每年损失达到6万亿美元。我们在各种报刊杂志当中都可以看到,报道相关网络袭击当中的新闻。这是一个信用数据机构,很多的消费者他们的数据都遭到了泄露,这是最近一个比较大的事件。
而2017年麦克非实验室所监测到的数据显示,有150万新的移动电话恶意软件这样一个数据,他们监测到了150万这样的案例,这其实数据只是在2017年的第一个季度,总共来说,2017年移动电话的恶意软件所产生的网络袭击事件达到了1600万。尤其是在Wifi方面,如果大家在公共场合的话,一定要避免运用公共场合的Wifi,这是移动支付当中的漏洞之一。所以我们可以看到四个象限,代表了移动领域的漏洞,第一个是基于APP的威胁,比如说你从谷歌商店或者是苹果商店里面下载的一些APP,可能携带一些病毒或者恶意软件,它会盗窃你的个人身份、个人数据,甚至去复制你的个人数据。除了APP之外,第二个是基于网络的威胁,比如说,Wifi或者是你们电脑上联网的时候,可能有一些漏洞,让犯罪分子得以利用。第三个是基于你的浏览器,网络方面的威胁,比如说钓鱼威胁或者隐蔽强迫下载。最后一个是我们的实物,东西丢了或者被盗了这样一种威胁。
我们现在可以看到,我们的移动手机恶意软件的例子,给大家列出来了一些,不管是IOS还是安卓系统,我们的手机软件上受到了这样的威胁,它可能会试图获得根目录访问的最高权限,它可能会去复制或者是偷窥你的邮件或者短信的内容。所以大家可以看到,在这样一个领域威胁越来越大,我们必须要采取措施,增加大家的洞察力,响应网络犯罪的剧增。
我们可以点击一下这样的链接吗?因为它这是连接到一个网站,我想给大家展示一下这个网站,这个网站给大家展示的是一个非常全面的世界范围内的数据泄露的案件,我们来看一下,你可以看到,各个数据泄露事件造成的危害,我们有一个图像和数据,大家可以用手机照个照片,回去访问一下这个网站,是非常有意思的,这个网站给大家展示的是实时的数据和图像。总之,我们希望大家通过这样的一些事件能够去更多的意识到,我们现在所面临的威胁。非常感谢!
David Gyori:好的,网络事件,刚才我们的发言人说了全球威胁当中的是头两位,而且移动电话,手机恶意软件的事件激增,一个智能手机就可能带来多个威胁。所以在功能方面可能受到很多的威胁,我们现在面临着很多的风险,这是对于我们来说非常重要的事情,必须要引起重视,谢谢Abdul。现在我们请Stephane Nappo,法国兴业银行的代表。
Stephane Nappo:我的名字Stephane Nappo,我来自法国兴业银行,我是全球首席信息安全官,这是非常大的一个银行集团,在这样一个集团之内,和一个特定的一个团队一起工作,我们的工作范围覆盖了67个国家,我想跟大家方向一些比较务实的案例。首先,非常荣幸来到这里,因为我是从法国来到了中国,跟大家分享我自己今天的想法,而在世界范围内,我们可以看到中国方方面面的进步,但是中国在进步的时候,其实也可能面临着一些威胁,中国来说对金融的发展是非常重要的,我们的视觉范围、我们的焦点是在中国。
今天我的主题是“数字时代的网络安全”,尤其把重点放在金融方面,我们来看一个短片。
(短片播放)
这是我们精彩的今天,这不是过去、不是未来,是今天,我个人相信,我们安全领域的工作者是非常重要的,我也是全球首席信息安全官,我在很多国家工作,我想今天给大家分享的是我们非常务实的一些案例。
第一个,创新,创新是一个新的服务,但是创新必须要以遵守我们安全方面的法律法规为基础,同时要有可持续性,我们必须要记住,我们四个领域的创新现在已经受到了黑客的攻击。所以我们任何的创新,它都可能受到网络威胁,但是有时候也会有更多欺诈的行为,因此,我们要更好的保护我们的安全,其实这并不是某一个小的工具。我们在这方面的投资必须要包括预防欺诈的行为。技术是一个可用的仆人,但是它会是一个危险的主人,这就是我们的挑战,其实在美国、非洲、中国、澳大利亚等等在全球层面,我们必须要掌握这样的一个技术,我们必须要维护客户的信心。因此,安全是最重要的一个工具,其实它并不是企业主要的目的,但是并且是他们最重要的目标。
我们也经常看到,比如说创新,就像是一个乌托邦,恐惧的乌托邦一样,我们现在面临着安全的重要问题,在这方面我们做了很多的工作来阻止这样一种恐惧的心理,其实它并不仅仅是乌托邦,其实它是一种软件的应用和它息息相关。还有一个小的问题,最主要的网络风险会是什么呢?一个很简单的问题,比如说,对政府来说,对董事会来说,对我们人来说,他们认为,这个风险是不存在的,所以觉察非常重要,我们要了解这种风险的现实。因此,我们要能够应对所有的风险,如果我们认为这个风险不存在的话就很危险,我们要意识到这种风险,而且可以进行一些选择来保护自己。当然,安全它并不仅仅是一个IT的话题,很多的高管不应该参与其中,很多大的CEO,他们在网络安全方面其实已经达成了一致,这点确实非常重要。
金融是基于什么呢?金融它不是基于数字,它并不是基于金融本身,金融是基于信任或者说客户的信心,如果没有信任的话,就没有客户,也就没有业务了。今天安全也就是对金融行业的一个信息,我们需要花20年的时间来打造一个好的生意,但是只需要几分钟的时间,如果发生了网络安全事故,所有的名誉毁于一旦了。还有另外非常重要的一点,我们来看一下中国、美国、法国,IT情况怎么样?个人身份怎么样?我们要保护我们自己,对我们来说在金融行业,要做到防御,其实它有非常多的目的,并不仅仅是一个话题,我们要实现数字转型,也就是说在镜子的另一面,作为服务方面,比如说俄罗斯、罗马尼亚、法国等等,50美元就可以买到某一个东西,但是30到50美元就可以来进行攻击,这是我们要考虑到的。可能会攻击银行,甚至你个人,而且它的成本基本上没有,很低,这是一种新的犯罪在防御方面非常重要,其实它并不是直接的攻击,如果不是银行家的话,你就是目标,他们要的不仅仅是钱,他们想要这些信息,把这些信息卖给别人来挣钱,包括你孩子的一些信息,还会有这些造假的卡片等等,这些人他们是需要一些信息,并且把这些信息卖出去。对于这些黑客来说,信息具有巨大的价值。因此,我们如何获得创新呢?其实这并不是不可能的事情,也就是共生,一方面要安全,同时也要创新,这是共生的,可以达到平衡的。
什么是数字的业务呢?我们会有政策监管,同时也是服务、也是创新,信息也非常重要,如果不这么想的话,其实就会有麻烦,我们都了解到了Facebook的问题,我们要保护个人的隐私,比如说银行的法律监管,怎么样获得客户的信任,在你的层面或者第三方的层面以及合作者的层面都做到这一点。其实这也并不是那么复杂,你、我、我们都有机会来进行防卫,或者说也会进行一些攻击,如果你的预算安全不好的话,就会受到攻击。其实我也想和大家分享一点,现实的风险方法,并不仅仅是威胁或者说你的房间、在银行里的一个问题,比如说业务的发展合规,技术的发展以及威胁,这些都纠结在一起,我们怎么样有一个好的框架,其实预防非常重要,我们要了解可能存在的这些风险,并且进行管理、进行预防,探测或者是了解有什么样的风险,这也是非常重要的,我们遭受风险之后能够重建我们的公司。
在风险方面,我们不要采取一种追溯的方法,对网络安全来说,所有的这些事情好像在汽车前面一样,比如说,索尼这些公司来说,我们要根据过去发生的一些事故来吸取教训。所以我们要考虑到这个风险是在正前方的,而不是采取一种追溯的方法。安全和敏捷性也是息息相关的,我们要了解到我们采取什么样的保护方式,有什么样的法律法规来遵守,它像是一个循环一样,因为有很多的客户他们会接受我们的那些服务,涉及到很多钱的问题,其实我们要有一个线性的项目模式,我们要采取持续的、连续的、安全的措施,就好像是某个银行卡的安全性一样,如果有好的安全措施,我们就可以很好的保护我自己,同时必须要采取一些迭代的措施,其实这种安全问题并不仅仅是警察的问题,包括很多,包括风险的分析以及了解风险的影响,了解到风险哪些是可以接受的、哪些是不能接受的。
最后一点,我们要必须在整个供应链上到我们的价值链上渗透,包括上游和下游公司,我们要有一个正面的、安全的文化,今天基本上90%的网络攻击都是和觉察相关的。但是我们仅仅是在IT上面进行投资,我们没有在人的方面进行投资,我们有觉察、我们有规则,我们同时也要有行为,以及有一个框架,我们有一个流程来阻止事故的发生。感谢大家的聆听。我想和你们分享一些实用的想法,现在我们都是面临同样的威胁,而且我们要共享一些应对的方法,谢谢。
David Gyori:Stephane非常感谢你的精彩发言,有很多的信息在里边,我想指出一点,刚才你谈到了20年所搭建起来的一个名声,可能20分钟就要毁于一旦了,也就是和欺骗者息息相关的,欺骗者可能会来的更快,保护安全不应该只是一个项目,它会有一个开始或者说就结束了,不应该是这样的,它应该是一个连续的过程,就好像是一个不断连续的过程,在文化或者说人方面,我们要加强这方面的意识,这一点非常重要。预防、探测、反应、并且恢复,就好像是他们每一个都是和危险息息相关的,但是最大的风险,您认为风险根本就不存在。第二大风险,基本上都是绝对正确的,在风险理解方面,我们是绝对正确的或者说我们有一个完美的安全体系,这样的话,会导致很大的灾难,这些信息非常得重要。谢谢你的发言。
下面有请Ying Han来发言。
Ying Han:非常感谢,很荣幸和大家分享一些中国的政策,并且也感谢亚洲银行家的邀请,首先,我想介绍USITO以及我们的工作,我们是一个非政府组织,是美国信息产业的一个机构,我有点担心,因为刚才的发言人谈的非常得精彩,我谈的是政策。因此,对我们来说,我们会对网络的安全进行一个追踪,尤其是中国的情况,了解到它对行业的影响,对我来说,我们了解的是中国政策的发展以及动态,我们知道网络安全它不是一个区域性的话题,刚才的发言人也谈到了这一点,这是在数字时代背景下一个全球的问题,每个国家都有这些问题,比如说,数据的安全性以及网络安全,如何应对这些风险,当然政府起到非常重要的作用,尤其在政策和监管的层面,而且中国在最近也采取了非常多的举措,设立了一个网络安全框架来关注数据安全性的这个话题。
对于我们来说,我们是实地和监管者一起合作,尤其在科技方面,我们一些会员们,大家可以看到是很大的科技公司,他看到了在信用卡方面很大的变革,还有其他的科技公司,在金融服务以及汽车行业的大公司,在实地上追踪我们在产业政策方面的变化。同时我们也积极的接触一些监管机构,我们希望能够促进行业当中的最佳做法、最佳实践,希望他们能够实现自己的政策目标,同时促进一个创新的科技环境,让我们的科技行业蓬勃发展。
我的PPT重点是在新的2017年刚刚实施的《网络安全法》方面,《网络安全法》大家可能都已经听说过了,如果在座的有中国合规方面的同事,大家肯定都非常熟悉了,因为中国想要有一个简单的,但是统一的安全领域方面的法律法规,大家可以看到,图上给大家的一些例子,这个字非常小,但是我可以给大家解释一下。比如说,第22条,它要求网络产品服务具有收集用户信息功能的话,其提供者应当向用户名并取得同意,摄取用户个人信息的还应该遵守法律和有关法规关于个人信息保护的规定。另外,《网络安全法》当中37条,关键信息基础信息的运营者,在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储,如果是需要向境外提供的话,应当向国家网信部门会同国务院有关部门制定的办法进行安全评估。
所以在这样两个条例之下,我们有一些具体执行的方法,《网络安全法》是一个非常大的框架,在这样一个框架之下,我们可以看到有很多单独的执行方法,它不仅跟科技行业相关,跟其他行业也息息相关,有的是关于网络安全等级保护制度,有的是关于关键信息基础的运营者采购网络产品和服务的时候,他们可能会经受国家安全审查,包括数据流方面的规定,其中一些条例还有更改的空间,但是总的来说,一个框架已经被设定了。
我们来进一步看一看,我们的国家标准,中国正式的发布了《信息安全技术个人信息安全规范》这样一个标准,它确定了数据的收集、储存、使用以及转移方面的规范,这是一个国家自愿规范,它是政府级别的标准产业规范,它是一个指导性文件。人们可能会质疑了,我们这样的规范,它的定位是什么?当我们在做合规工作的时候,它是我们必须要遵守的规范还是说它是有一定约束力的呢?在中国很多的规范,其实都是自愿性质的,我们建议行业当中的企业要进一步的研究,然而政府在处理一些案件的时候,尤其是私人数据泄露案件的时候,政府会进行参考。去年支付宝,在第三方的支付系统方面出现了一些问题,他们想要分享第三方的个人信息,他们的芝麻信用服务方面有一些问题出现,监管者利用或者参考了这样的个人信息安全规范,看支付宝的做法是不是违反了或者是遵守了这样的规范。所以这不是强制性的,但是对于政府或者企业来说是我们强烈建议他们去参考的。
很有意思的是,我在准备PPT的时候,中国银保监会管理委员会正好发布了一个新的《银行业金融机构数据治理指引》,它直接提到了我们刚才所说的国家标准,希望他们在银行或者是金融业方面能够有一定的借鉴作用。这样的规范经常被引用,在官方的文件当中是被引用的很多的。所以在数据隐私方面,全球有很多的条令或者是指令,最出名的是欧盟GDPR通用技术条例,明年正式生效,中国的法律法规也是在发展当中,所以中国一直在追踪欧盟GDPR实施的进展,但是中国在合规方面还是有很多事情需要去做。像GDPS的很多细节,它其实和中国的发展也是有参考意义、借鉴意义的,不管是在金融还是科技行业,我们行业想要看到的是国际上通用的关于数据保护方面的法律法规,这也意味着在跨境数据流领域当中能够受到保护,我们能够受到通用标准的制约。中国政府也和其他地区的政府有紧密的沟通,在数据保护和数据隐私方面。
我之前稍微提到过一点,很多的数据或者是网络犯罪方面的法律法规,它在银行业方面是非常严格的,即使在中国、在《网络安全法》之前,有很多的条例和法规,它都提到了银行业方面的数据安全和数据本地化的条例。尤其是在跨境交易当中,怎么样保护个人数据。所以我们的行业不管是在中国还是美国,尤其是在纽约,比如说,他们在金融行业都有非常严格的条例,所以这是我们更细节的跨境数据流的一个法规草案。有一些问题,我们行业还是在质疑的问题,我把它列在上面了,我们还是有进步的空间,在中国数据流条例不只规范的是个人信息,还有更重要的一个标准,重要数据,重要数据的定义是怎么定义的?有的时候对你的企业来说不是重要的数据,但是对别的企业、别的个人来说,可能就是重要数据了,所以定义怎么定义,是非常重要的。
这样一些法律法规当中,它没有对重要数据定义做出清晰的界定,对于我们来说,我们想要一个非常重要的定义框架,但是我给大家展现出来的条例还在草案阶段,有进步的空间和改变的空间。所以重要数据是什么?在草案当中,我们有一个列表,尤其关注的是金融行业,这是非常广泛的一些领域,它涵盖方方面面的数据,大家可以仔细看一下,也可以给我们提出一些意见。这就是我对中国数据隐私方面的一个介绍,尤其是在政策方面的介绍。谢谢!
David Gyori:非常感谢Ying Han,我们了解到中国数据保护的政策在不断的发展,而且中国在通信领域的保护也是发展非常迅速的,除了法律的监管之外,比如说,《网络安全法》在2017年6月1号已经实施了,此外还有一些话题,国家自愿的标准以及监管者他们会不会参考这些标准,尽管他们不是必须的,但是是高度建议的,希望能够遵守这些规则。刚才你提的一个案例,其实也非常具有代表性,也说明有时候标准是应该具有前瞻性的,而且能够创造一个框架,标准它也能够进行不断的优化,这都是让人非常振奋的信息,我们必须要承认、并且要尊重,现在在中国这方面的发展是非常迅猛的,谢谢Ying Han。
现在我邀请另一位,也就是最后一位发言人来进行演讲,Roeland,他没有幻灯片,但是他是获得了全球广播领域的一个大奖。
Roeland Van Zeijst:好,非常感谢您的介绍,大家早上好或者说下午好,已经过了12点了,今天早上我们展开了讨论,也就是说,我们认识到了这里面有一个潜在的威胁,在我去上学的时候,你没有材料,你可能会说,这是狗,把我的家庭作业做了,现在我也没有狗,这个狗把我的PPT吃了,开个玩笑。现在回应这样一个非常有趣的话题,女士们、先生们,谁来自中国?请举一下手。谁来自欧洲?谁来自于伊朗?我们知道,伊朗其实就像旁边的邻居一样,现在伊朗对中国来说是邻国了,包括哈萨克斯坦、南非等等其他的国家,我们都是若比邻,这些网络的犯罪者他们有一个自己的网络,他们有全球的视角,而且他们有自己的商业模式,之间开展一些商务的交流和沟通。他们相互之间合作了,来攻击你所在的机构。
还有另外一个问题,也就是,我们今天的主题是未来的金融峰会,很多人都是来自于金融领域,我们可以看到有些人是老朋友,有些人是新朋友,有些是没见过,来自不同的素质,也许你是了解和认识的,请举一下手,谁认为其他的听众是你们的竞争者?我们被竞争所环绕吗?我们是朋友吗?是这样的吗?为什么我这么问你们?丹妮尔今天早上谈到了有一些我不喜欢,中国已经成为合作和竞争的温船了,这是我所指的意思,我认为这种峰会,也就是我们可以开展合作,尤其是在网络安全以及预防犯罪方面,竞争对我们来说是不好的,他们会有自己的一些事情,想从你们这儿分了一杯羹,竞争是不好的。
我们如何开展合作呢?比如说,可能有针对你们组织的犯罪,针对的是伊朗或者说中国、欧洲等等,所有的这些偶然或者说巧合,在欧洲处于什么样的情况呢?GDP发展了,我们就合规了。刚才谈到中国的情况,我们所做的事情,中国来说有一些是非常重要的信息是我们必须要考虑到的,在欧洲一些敏感的个人信息能够进行额外的保护等等,我不确定这两个如何可以达成一个平衡,主要是我们80%可以是共享的一种合作的方法。
刚才跟大家开了一个玩笑,伊朗就是邻居,如果我们从伊朗的角度来说,问他们网络安全对他们带来什么样的影响?伊朗的想法可能跟我们的想法不太一样,对德黑兰来说,他们80%的网络安全犯罪都是和金融相关的,银行被袭击,我们全球所共同面临的问题,我们需要找到一个方案,来共同努力,并且共同应对。刚才我也谈到了,我来自于国际刑警组织,其实孟洪伟是我们来自于中国的总裁,我们在刑警方面开展合作,他的官方称呼是国际刑警组织,我们也有一个网络安全中心,它就是位于新加坡。昨天有人问我一个问题,说在国际刑警组织方面你们国际刑警组织能做什么样的事情?其实国际刑警组织什么都不能做,国际刑警组织是一个交流的平台,可以在执法机构之间进行信息的交流,每个国家的执法机构都有自己的能力,在国际方面进行一些信息的交流和沟通,有一些国家发现他们人的护照被偷了,他们会发出警告,这样的话,这护照如果在其他的国家被使用的话,由当地的执法部门要采取一些措施,这就是简单的一部分,也就是说,有人护照被偷了,可以理解,但是有其他不同的犯罪,而且可能也会有不同的惩罚。
我想给大家举一个例子,如何可以相互的合作?随后我会谈到银行业,不用担心,最简单的一个话题,就是刚才我谈到的,在网络上的儿童虐待,很遗憾它也会发生,不同的国家有不同的规则、不同的法律来确定,什么是儿童虐待?这个孩子应该多大具有法人的地位?每个人的想法不一样,这好像是一个机械一样,我们有一些共同的方法。比如说,我们都同意,如果是做这样事情的话,就是儿童虐待了。这让国际刑警组织他会有一个数据库,任何的执法机构可以用这些数据,他们没收一个罪犯的财产,看一下这些图,看一下这些数据,并且把它和数据库里的数据进行一个比对,这在任何国家是不允许的,我们可以发起国际的合作,因为我们知道任何国家,这个人进行一些信息的共享,所以他们已经犯罪了,而且是需要进行惩罚的,可以看到在国际方面的合作。
在行业方面,我们有许多合作的机会,其他朋友也谈到了监管者会监管你所做的事情,必须要合规,尤其是没有合规的话,其实我们要和我们的竞争者要进行密切的合作,当然会有平衡的问题。我也想谈谈我的国家荷兰,荷兰是通过网络和美国最先联系上的一个国家,我们有一些合作的经验,其实也有一些非常创新的做法,我们主要的一个成功之处在合作来说,我认为其实我们是从澳大利亚那儿学来的,这是一个信息分享的中心,也就是说,在CIO和CSO之间,这两个大的组织要开展合作,在金融行业或者说在通信行业,我记得在通信行业,他们会有一个董事会进行安全方面的信息交换,包括安全的战略,并不是谈他们所看到的事件、事故,而且是谈他们能够采取什么样的措施,其实我也是这个他们的会员,我们有很多的讨论,比如说反垄断等等。因此,他们会签署额外的协议,只是分享和安全方面的信息,在荷兰这么做也是蛮不错的,因为它可以进行相关的数据交换,并且也能够对未来可能事件进行一个预防,同时我们非常愿意和大家一起共同努力了解所发生的一些事情。
之前也谈到了其中的一个问题,如果发生了针对你的网络攻击,你是不说出来吗?你的投资者、监管者,他们可能都不想知道这一点,对的生意来说是不好的。其实这阻碍了荷兰执法机构的执法,我们有一些大的银行,让他们采取一些措施是很难的,他们也会有问题,只是不知道警察这块来进行一个报告,大概几年之前,我们有联合办公室,把这些不同银行的联络办公室的人聚集在一起,包括执法人员以及公安的人员聚集在一起,他们可以怎么做呢?当然这边不是说每天都这么做,这些银行他们之间展开讨论,看看有什么样的威胁,有什么样的人对他们进行日常的攻击,或者需要有防火墙。但是如果多余一个机构受到了威胁的话,他们可能就会提供一个报告,最后可能会带到法庭,不仅是一个银行的问题了,而是两个银行、多个银行的问题了,这是一个非常严重的问题了。这不是说一个银行本身的数据或者网络安全的问题了,而我们现在有一个很好的法律基础,让不同的机构之间能够互换信息,所以我们能够有很多的细节可以分享。
最后,想跟大家分享一下,有协调的漏洞方面的合作,它是一个什么样的协作呢?与黑客来进行协作的概念,最后我想给大家分享这样一个想法。我们在荷兰,多年以来都有这样一个想法,我们有很多人想要尝试不同的方法和系统,几年以前,我们的网络安全受到了很大的侵害,有一个未成年人,那个时候他袭击了我们的移动电话系统,我们的法律系统用了很多时间想要找到这样的一个青年,因为他实施了对移动电话的侵害,当警方发现,其实这个小孩他就住在警察局附近,花了很多的时间去找他。我们这个黑客罪犯就在身边,他甚至是未成年人,我们要做的是怎么样预防和发生事件以后怎么样快速的响应。
我们的政府也是发布了一个指导文件,很多企业都采用了这样的一个方法,这好像就是一个自愿性质的规范了,我们很有信心,我们相信一个组织或者一个企业如果不采用这样的方法的话,他可能就会遇到很多的问题。所以对于我刚才说的那个未成年人,其实法院是不愿意起诉他的,但是我们可以做什么呢?我们可以做的是,你可以来侵犯我们的网络,但是你不要做非常极端的事情就好了,这是我们政府现在想要大家去做的一件事情,你把这个信息通过你的浏览器、通过你的网站发布给潜在的黑客,这些黑客一看,你的网站说,我知道你要来进行攻击了,但是不要攻击我们的关键运用,不要采取过于极端的手段。所以我们现在把这个方法叫做有协调的漏洞暴露的方法。
我们现在在做什么呢?我们给这些潜在的黑客正送黑色的体恤,这个体恤上面写的字是我侵害了政府系统,这是很有意思的反制措施,一些年轻的黑客他愿意穿这样的体恤,他们想要炫耀自己,很多人来自于印度,在印度他们受到了专业的通讯方面的训练,他们跃跃欲试,想要去向世界证明,他们是有能力的,他们是可以去攻击政府系统的。现在这样的体恤甚至变得非常受人欢迎,我们这样一个方法其实是更多的去接触黑客,甚至与黑客进行合作,反过来保护我们自己的网络安全,所以这是一个非常有意思的方法,因为不要把他当做敌人,把他当做一个调皮的小孩,怎样教化这样的小孩,我们跟他协作的关系,而不是敌对的关系。我们在网络安全方面必须要合作大于竞争。谢谢!
David Gyori:我来总结一下,来解读一下您刚才的想法,我想说,国际刑警组织他是用发放体恤的方法来打击犯罪,这是非常有意思的。非常有意思的是,人们可能想向世界证明,我侵害了荷兰政府的系统,而由此他们想要穿上有这样代表性的一种体恤,他们甚至更想要体恤,而不想要现金,你可以把这个体恤放在自己的履历表当中,你获得过这样的体恤,甚至比现金还要更金贵。你刚才提到了竞争和合作,不仅要有竞争,更要有合作,我们的很多银行家他们都非常担心,他们不想要卡特尔垄断的形式,在中国、伊朗、波兰、瑞士、巴西等国,他们都是在网络领域有合作的空间,非常感谢您的方向。
现在我想请在座的各位问一下问题,因为我们现在听到了很多的想法,可以问一下问题。
Chu Chengyun:我想问一些非常困难的问题,第一个,我们看到了全球很严谨的GDPR通用数据条例,还有《中国的网络安全法》,美国的法律条规,我想问,在今后的五年,这样的趋势是不是还会继续?我们是不是还有更强有力的、更严格的网络安全方面的监管?第二个,实际上来说,这些法律条规是怎样促进我们网络安全的?很多企业,在他的履历表中打一个勾呢,是一个表面现象呢还是真正能够解决问题呢?
Roeland Van Zeijst:你的第一个问题是什么?
Chu Chengyun:在今后五年,更强有力的、更严格的网络犯罪方面的法规是会成为一个趋势吗?
Roeland Van Zeijst:是的,在网络安全方面的法律法规监管,肯定会越来越严格,尤其是像GDPR这样的例子,但是我认为,它是一个自愿性质的方法,给大家一个例子,《布达佩斯公约》,它其实是一个条约性质,源自于欧洲,但是世界上任何国家都可以加入,这是跟网络犯罪方面有关系的,第一,它定义了一些网络犯罪的案例,任何批准条约的国家都会把它纳入到自己国家的法律,它是为网络犯罪进行了一个基本的定义,比如说,非法入侵是什么意思,它进行了一个定义。第二,在国家之间和国家之内我们如何能够进行合作?尤其是在第三方的合作方面,法律的执行,全天24小时如何在世界范围内促进国家之间的合作。
在欧洲,比如说,人们有一种希望,全球各个国家都会遵守这样的条约,但是我个人认为,对于一些国家,出于一些政治目的,它可能会加入,这样一些国家就自愿的把这样的框架纳入自己国家的法律,他们采用了跟这个条约当中类似的方法,而且他们也会有全天24小时的一个连接人员,大家可以联络的一个地方。所以在国家批准这样的公约之后,更多的国家进行了效仿,而国家之间有更强有力的合作了。我们的公约上面还有很多的地方需要去更改或者去更新,因为它已经15年了,这是我想给大家分享的一个例子。
Stephane Nappo:我也想给大家分享一个例子,比如说有一个汽车,你想在中国赛车的话是不可能的,我们必须要有车、有司机、还有其他的因素,在你的问题当中非常有意思的是,监管只是一个大范围内的,我们要看到的一个情况当中的冰山一角,就像开车一样,我们不仅要有车,也要有司机、要有道路,要有红绿灯。所以我们要采取一个全面的观念来看待这样一个问题,要有一个全面观,所以不管是有监管还是没监管,我们都会面临着网络方面的风险,我们不仅要保护车,我们必须要教育我们的司机。所以在网络安全方面也是一样的,我们要看到各个方面的细节,我们今天的道路是数据分享的道路,我们今天谈到开放式银行,我们开放式银行引出的就是敏感数据、敏感信息的问题,它也是我们的一个增加值,但是我总的想说,监管只是网络安全当中一个很小的部分。
Ying Han:在中国《网络安全法》肯定会越来越严格,而且会增加,这是一个趋势,但是如何执行有效的《网络安全法》呢?只是很多机构合规做了一些表面性工作还是说真的要去付诸实践呢?很多的条例,其实并不是描述性的,而且也不能实质性的增加您的组织或者企业在网络安全方面的进步。所以我们现在要教育监管者,让他们知道,最有效的方法是什么,最有效的措施是什么。有的时候在数据方面,中国的例子是比较特有的,我们会问自己一些问题,数据权是什么?谁有权拥有数据?这是在中国经常去问的一些问题。
Wan Zulhamli BiWan Abdul Rahman:看一下它的影响,我想谈谈数据被另外一个组织购买的一些影响,比如说,如果一个组织说来自于马来西亚,从公民那儿收集信息,从我的角度来说,GDPR是一个好的平台,因为我们会用这个GDPR让中东或者是亚洲的国家来参照看看怎么往前走。
Roeland Van Zeijst:我也想谈这个话题,如果你谈监管的问题,其实有趣的问题,大家可能害怕,你罚款的话会有几百欧元,可能占到你收入的2%,但是其实他也说了,他也会进行一个权重,看看你采取什么样的措施,做什么样的努力来增强你的网络安全,这样可以自己算一下,你愿意怎么做,其实他并不是说那么严格,从监管的角度来说,对公司来说也是非常具有实际意义的。但是很多人对GDPR并不是那么了解的,可能是多元化的,而且根据你自己的情况来决定的。
David Gyori:这个话题会继续下去,不断的要讨论下去,我总结一下,刚才有激动人心的讨论,IT的安全以及网络的安全,现在已经上升到董事会的层面了,这非常好,可能会给我们带来什么样的威胁,我们已经意识到非常重要了,比如说,可能有5万美元的罚款,如果有现实的前瞻性的做法,能够帮助我们减少很多这方面的损失。因此,我们刚才所说的更快非常重要,因为这些年轻人,他们是迅速发展的一代,更快并不意味着带来更多的欺骗,体恤、包括团队合作都可以打击犯罪,遗憾的是,数字犯罪在全球化和数字转型得到了成功的扩张,政府和银行应该赶快跟进上来,我说的是在数字转型方面有更大的举措,而不是在犯罪方面有更多的上升。现在中国有了网络安全的措施,同时中国也建立了一些标准,这并不是必须要执行的标准,但是它能够让你有更好的业务发展,以及获得更多、更好的声誉,尤其道德上来说,GDPR一开始来自于欧洲,主要是为了保护数据,其实它也有全球的影响力,我们要了解这个世界对GDPR会产生什么样的反应,其实在欧洲有一点纠结的,我们很喜欢它,因为它非常重要,另外一方面也害怕它,我们要看其他人士有什么样的反应呢。所以非常感谢各位发言嘉宾,感谢我们的听众,祝大家午餐愉快。谢谢!
——结束——
