電信變革帶來的風(fēng)險(xiǎn)是否影響保險(xiǎn)信息安全
王薇 2011/11/01
據(jù)美國通信欺詐管制協(xié)會(huì)估計(jì),每年由于電信欺詐而導(dǎo)致的收入損失超過 600億美元。對(duì)于某些電信企業(yè)而言�����,欺詐造成的損失占到年收入的20-30%�����。在全球范圍內(nèi)����,電信欺詐已經(jīng)以不同形式存在了數(shù)十年。從20世紀(jì)70年代的付費(fèi)電話盜打����,到20世紀(jì)80年代的干擾收費(fèi)表,再到20世紀(jì)90年代的電話卡欺詐�,每種新一代電信技術(shù)均伴隨著新的風(fēng)險(xiǎn)源。
惠普新近發(fā)布的電信行業(yè)企業(yè)信息安全白皮書《保護(hù)下一代電信服務(wù)的安全性和可用性》(以下簡稱惠普《白皮書》)顯示:過去幾年來���,電信行業(yè)已開始另一種主要業(yè)務(wù)與技術(shù)變革����。這一變革趨勢(shì)在創(chuàng)造了新的收入來源的同時(shí)����,也帶來了重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���。據(jù)記者了解,近兩年�,保險(xiǎn)業(yè)與電信業(yè)的合作正在日益密切����,電信變革帶來的風(fēng)險(xiǎn)勢(shì)必對(duì)保險(xiǎn)信息安全帶來影響。
遷移IP網(wǎng)絡(luò)的風(fēng)險(xiǎn)
電信企業(yè)只提供語音服務(wù)的時(shí)代已經(jīng)一去不復(fù)返了���。手機(jī)市場(chǎng)的飽和與消費(fèi)者的融合需求正在迅速推動(dòng)向基于 IP的3G網(wǎng)絡(luò)的遷移�����,以用來提供語音�����、數(shù)據(jù)����、互聯(lián)網(wǎng)�����、視頻及其他內(nèi)容的服務(wù)。
IBM對(duì)電信企業(yè)開展的一項(xiàng)名為《運(yùn)營商服務(wù)安全狀態(tài)》的調(diào)查發(fā)現(xiàn)�,到 2012年,超過85%的電信服務(wù)供應(yīng)商將完成這種遷移����。作為該遷移的一部分,電信供應(yīng)商正將以前關(guān)閉的網(wǎng)絡(luò)連接至其他運(yùn)營商網(wǎng)絡(luò)��、專用網(wǎng)絡(luò)/企業(yè)網(wǎng)絡(luò)�����、內(nèi)容供應(yīng)商和公共互聯(lián)網(wǎng)�。
惠普《白皮書》分析,該趨勢(shì)除了通過提供新服務(wù)來支持增加收入之外���,也會(huì)將電信網(wǎng)絡(luò)暴露給基于IP的惡意軟件變種(如蠕蟲���、木馬等病毒)。多年來��,有線服務(wù)供應(yīng)商一直飽受這些惡意軟件的威脅���。
據(jù)記者了解����,以前保險(xiǎn)信息安全主要集中在磁盤、U盤���、筆記本電腦等數(shù)據(jù)存儲(chǔ)介質(zhì)方面�����,數(shù)據(jù)存儲(chǔ)介質(zhì)的丟失或被盜,造成客戶資料被轉(zhuǎn)賣��。隨著保險(xiǎn)公司和電信行業(yè)合作的開展����,黑客攻擊網(wǎng)站獲取保險(xiǎn)公司機(jī)密數(shù)據(jù)成為新的風(fēng)險(xiǎn)。
智能手機(jī)融入的風(fēng)險(xiǎn)
研究機(jī)構(gòu)明特爾發(fā)表的《2008 年移動(dòng)設(shè)備市場(chǎng)報(bào)告》表明���,智能手機(jī)的銷售額在短短兩年內(nèi)漲幅就已超過150%���,而同期標(biāo)準(zhǔn)手機(jī)在銷售額和市場(chǎng)占有率兩方面均有所下降。電信企業(yè)借助智能手機(jī)����,通過向現(xiàn)有客戶向上銷售多媒體數(shù)據(jù)服務(wù)�,可從每個(gè)客戶身上獲得更多收入�����。隨著智能手機(jī)將內(nèi)置信用卡芯片轉(zhuǎn)變?yōu)殡娮渝X包���,電信企業(yè)可能會(huì)找到利用這一趨勢(shì)盈利的其他機(jī)遇�����。但是��,這一技術(shù)融合也伴隨著同等的融合風(fēng)險(xiǎn)����。此外��,消費(fèi)者正使用智能手機(jī)來查看其銀行存款�,并進(jìn)行電子商務(wù)交易,因而吸引了更多的移動(dòng)設(shè)備惡意軟件���。
這一技術(shù)融合也伴隨著同等的融合風(fēng)險(xiǎn)�����;萜铡栋灼分赋觯褐悄苁謾C(jī)引入了應(yīng)用媒介�,支持終端用戶直接安裝軟件�,同時(shí)也支持具有眾多已知漏洞的操作系統(tǒng)和協(xié)議。此外�,消費(fèi)者正使用智能手機(jī)來查看其銀行存款,并進(jìn)行電子商務(wù)交易���,因而吸引了更多的移動(dòng)設(shè)備惡意軟件��。
這一風(fēng)險(xiǎn)也值得保險(xiǎn)業(yè)警惕�����,目前已有許多保險(xiǎn)公司推出了智能手機(jī)短信服務(wù)。通過這項(xiàng)服務(wù)�,有的壽險(xiǎn)公司可以第一時(shí)間以手機(jī)短信的方式將生存給付提醒、分紅領(lǐng)取提醒�、萬能保險(xiǎn)結(jié)算利率公告、續(xù)期繳費(fèi)提醒���、理賠結(jié)果通知等保單服務(wù)中的重要信息同步傳遞給客戶和代理人�����。如何防范移動(dòng)智能手機(jī)免遭惡意軟件的攻擊�,成為保障保險(xiǎn)信息安全的新課題。
行業(yè)整合的風(fēng)險(xiǎn)
惠普《白皮書》判斷���,隨著很多國家/地區(qū)移動(dòng)電話服務(wù)的普及率達(dá)到或超過 100%���,一些電信企業(yè)正在收購新興市場(chǎng)(亞洲、非洲和東歐)中的公司�����,以擴(kuò)大其影響范圍��。技術(shù)融合是行業(yè)整合的另一驅(qū)動(dòng)因素�����。電信企業(yè)目前正在收購相關(guān)公司���,以實(shí)現(xiàn)其“四網(wǎng)(包含互聯(lián)網(wǎng)�、電視�、移動(dòng)和固定線路服務(wù))融合”的目標(biāo)。
行業(yè)整合在幫助電信領(lǐng)先企業(yè)擴(kuò)張的同時(shí)����,也導(dǎo)致了內(nèi)部欺詐和數(shù)據(jù)泄漏的情況上升���。內(nèi)部欺詐涉及多種活動(dòng),諸如直接將服務(wù)應(yīng)用于交換機(jī)以繞過計(jì)費(fèi)系統(tǒng)�、暫停生成使用跟蹤數(shù)據(jù)、或從計(jì)費(fèi)系統(tǒng)中刪除記錄等�����。保險(xiǎn)公司借助網(wǎng)絡(luò)開展的網(wǎng)絡(luò)保險(xiǎn)業(yè)務(wù)�,也勢(shì)必受到信息安全的影響。
惠普《白皮書》表示���,從歷史上看���,檢測(cè)一直依賴于對(duì)計(jì)費(fèi)應(yīng)用程序及其他應(yīng)用程序的訪問進(jìn)行監(jiān)控��,但是收購引發(fā)了新的復(fù)雜性�。比如說,手機(jī)公司收購了采用不同計(jì)費(fèi)系統(tǒng)的有線電視運(yùn)營商�。在此種情況下,在擁有獨(dú)立訪問控制機(jī)制的應(yīng)用中�,監(jiān)控運(yùn)營商的活動(dòng)將變得更加困難��。收購之后緩慢的技術(shù)整合過程���,也可能會(huì)導(dǎo)致中斷的用戶對(duì)敏感數(shù)據(jù)的持續(xù)網(wǎng)絡(luò)訪問。
數(shù)據(jù)保留和監(jiān)管失察的風(fēng)險(xiǎn)
電信行業(yè)正在獲取更多的人口統(tǒng)計(jì)和交易數(shù)據(jù)����,以便了解客戶的使用偏好,執(zhí)行有針對(duì)性的向上銷售營銷方案�����。保險(xiǎn)公司也期望通過這些數(shù)據(jù)來制定開發(fā)和推廣戰(zhàn)略�����。對(duì)這一趨勢(shì)����,惠普《白皮書》也提示了風(fēng)險(xiǎn):這些信息除了提供有價(jià)值的消費(fèi)者感受之外,還使電信行業(yè)成為進(jìn)行身份盜竊的誘人目標(biāo)��。同時(shí)�,它還迫使電信行業(yè)遵守行業(yè)強(qiáng)制命令(如 PCI及其他隱私權(quán)法)。
反恐是電信行業(yè)中長期保留數(shù)據(jù)的另一個(gè)驅(qū)動(dòng)因素。通過對(duì)2004年馬德里列車爆炸案和2005年倫敦地鐵爆炸案進(jìn)行調(diào)查�����,官方強(qiáng)調(diào)了呼叫數(shù)據(jù)記錄的重要性����,而這促成了歐盟數(shù)據(jù)保留指令的頒布。類似的立法活動(dòng)也正在世界其他地區(qū)進(jìn)行���。電信行業(yè)需要一種解決方案�����,該解決方案不僅需要有效存儲(chǔ)����、查詢大量通話詳細(xì)記錄和互聯(lián)網(wǎng)流量���,同時(shí)還需要能夠防止對(duì)相關(guān)信息進(jìn)行未經(jīng)授權(quán)的訪問��。多數(shù)電信企業(yè)均為大型公共實(shí)體,他們已經(jīng)受《薩班斯 — 奧克斯利法案》��、《巴塞爾協(xié)議Ⅱ》或其他國家/地區(qū)的類似法規(guī)的約束。這些新的隱私權(quán)法和反恐法進(jìn)一步加劇了多數(shù)電信企業(yè)的現(xiàn)有負(fù)擔(dān)�。
業(yè)務(wù)流程外包的風(fēng)險(xiǎn)
惠普《白皮書》預(yù)計(jì),隨著電信行業(yè)持續(xù)私有化���,企業(yè)利潤持續(xù)下降���,全球競(jìng)爭將日益加劇。同時(shí)��,在任何經(jīng)濟(jì)衰退期間�,全球范圍內(nèi)的電信企業(yè)均會(huì)嚴(yán)重受挫,因?yàn)橄M(fèi)者會(huì)選擇回避費(fèi)用昂貴的附加服務(wù)�。這一運(yùn)營成本壓力已迫使電信企業(yè)將客戶服務(wù)、后臺(tái)操作�����、人力資源及并非核心競(jìng)爭力的其他職能外包���。除了預(yù)期的成本效益之外����,業(yè)務(wù)流程外包已造成更多形式的電信欺詐和數(shù)據(jù)泄漏出現(xiàn)����。
具體而言��,兩個(gè)原因?qū)е峦獍蛻舴⻊?wù)中心成為電信欺詐常見的目標(biāo)�����。首先�����,電信企業(yè)在其銷售和服務(wù)數(shù)據(jù)庫中集中了大量敏感客戶信息(財(cái)務(wù)和人口統(tǒng)計(jì)信息)�����。這就使得呼叫中心成為了數(shù)據(jù)泄漏的首要目標(biāo)����。其次��,呼叫中心的員工通常很年輕���,經(jīng)驗(yàn)不足��,待遇低����,因此其流動(dòng)率較高���。有犯罪組織團(tuán)伙通常將自己的人員安插在呼叫中心�,賄賂員工泄露客戶數(shù)據(jù)�����,或在執(zhí)行欺詐的過程中相互勾結(jié)��。
據(jù)業(yè)內(nèi)人士介紹����,隨著保險(xiǎn)業(yè)的快速發(fā)展,保險(xiǎn)數(shù)據(jù)管理已給各家保險(xiǎn)公司帶來巨大壓力����。一些保險(xiǎn)公司正嘗試以外包方式破解數(shù)據(jù)管理難題,此方式一可節(jié)約成本�,二可加快數(shù)據(jù)集中進(jìn)程。但數(shù)據(jù)外包可能引致的信息泄露風(fēng)險(xiǎn)需采取有效措施加以防范�。
托管安全服務(wù)的風(fēng)險(xiǎn)
具有諷刺意味的是,托管安全服務(wù)在增加了網(wǎng)絡(luò)威脅的同時(shí)��,也為電信企業(yè)創(chuàng)造了收入的機(jī)遇。2007年度《IBM 運(yùn)營商服務(wù)安全狀態(tài)》報(bào)告顯示���,80% 以上的電信企業(yè)相信�����,到 2012年����,云計(jì)算托管安全服務(wù)將成為主要的收入來源����;萜铡栋灼分赋���,雖然其看似矛盾�,但這一趨勢(shì)是合理的��。不同行業(yè)的企業(yè)正在面臨著日益嚴(yán)重的網(wǎng)絡(luò)犯罪威脅����,這些企業(yè)將會(huì)發(fā)現(xiàn),構(gòu)建和維護(hù)用來保護(hù)自身的安全專業(yè)技術(shù)變得越來越困難���。影響企業(yè)的外部威脅將會(huì)遍及由服務(wù)供應(yīng)商所擁有和托管的核心網(wǎng)絡(luò)�����。
電信企業(yè)在其下一代高帶寬網(wǎng)絡(luò)中將會(huì)擁有顯著提高的容量�����。與此同時(shí)���,他們也需要構(gòu)建用于托管和保護(hù)這些網(wǎng)絡(luò)的安全專業(yè)技術(shù)。因此����,電信企業(yè)非常適于檢測(cè)和應(yīng)對(duì)針對(duì)其業(yè)務(wù)客戶的網(wǎng)絡(luò)威脅。
電信企業(yè)在成功啟動(dòng)托管安全服務(wù)方面��,面臨著兩個(gè)障礙�;第一,他們必須擁有保護(hù)其自身數(shù)據(jù)和網(wǎng)絡(luò)的良好記錄���;第二��,企業(yè)面臨著日益增加的內(nèi)部威脅�,但是電信企業(yè)通常無權(quán)訪問內(nèi)部網(wǎng)絡(luò)。能夠成功建立信任�,并為客戶的內(nèi)部和外部網(wǎng)絡(luò)提供安全管理服務(wù)的電信企業(yè),將具有明顯的競(jìng)爭優(yōu)勢(shì)�。
保險(xiǎn)專業(yè)人士表示,目前國內(nèi)大部分的保險(xiǎn)公司在云計(jì)算方面還處于虛擬化階段�����,因此��,首先要了解云計(jì)算�����,其次要思考云計(jì)算將會(huì)對(duì)保險(xiǎn)公司的業(yè)務(wù)有什么影響����,再次要考慮IT技術(shù)對(duì)業(yè)務(wù)能夠有什么幫助。一些業(yè)內(nèi)人士對(duì)云計(jì)算托管安全表示了擔(dān)憂:“云計(jì)算的一個(gè)核心問題是怎么解決安全性���,因?yàn)閷?duì)于保險(xiǎn)公司來說�����,數(shù)據(jù)一旦丟失��,將會(huì)造成巨大的信用危機(jī)�。這不僅僅是要靠保險(xiǎn)自身,更多的還期待國家法律法規(guī)以及監(jiān)管部門的推進(jìn)���������!
中國保險(xiǎn)報(bào)
相關(guān)閱讀: