“兵来将挡,水来土掩”,有问题就得解决,有漏洞就得堵上。对于各种系统、网络漏洞,部分保险公司已经行动起来。统计显示,近期有9家保险公司在招聘网络信息安全人才,有寿险公司更是开出了最高108万元的年薪招贤纳士。但从行业整体来看,保险为各类网络安全人才开出的薪酬并不高,网络安全并没有引起业内的普遍重视。
有险企IT部门人士在与笔者交流时表示,现在确实有部分漏洞检测平台可以检测出漏洞,但这些漏洞只是以潜在威胁的形式存在,目前还没有对保险公司造成实质性影响,业内也没有出现大的信息泄露事件和网络安全事故,这是一些保险公司忽视网络安全的重要原因。
普遍不太重视安全隐患
昨日,有寿险公司以年薪72万元-108万元(月薪6万元至9万元)的薪资待遇招聘网络安全人员的招聘启事还挂在招聘网站上,最高108万元的薪酬水平,若与一般大型险企高管的年薪相比确有一定差距,但已与不少中小险企高管的薪酬水平不相上下。
笔者看到,该岗位对应的职责包括:负责保险公司信息安全技术体系的设计、建设、维护和检查;负责公司网络、系统、数据库、业务系统的安全风险评估和加固;制定和完善公司信息安全技术规范、标准和管理制度;负责建设信息安全事件监控平台,进行日志监控与分析;负责信息安全事故及问题通报告警机制等。
事实上,笔者发现,保险公司中,愿意出高薪吸纳业内安全精英的仅此一家,而其他几家保险公司开出的薪酬水平均较低,如有的险企开出了5万元-6万元的年薪。
上述险企IT部门人士表示,目前大多数保险公司更愿意将钱投入到互联网保险的业务与产品开发环节中去,能够开发出更好的展业系统、让人耳目一新的互联网保险产品才是现阶段保险公司所看重的。至于各种漏洞,保险公司也有IT部门进行日常维护,但并不是重点。
数据显示,截至昨日晚间发稿,在百度输入“互联网保险产品研发、推广、营销”等字样,会出现3565条招聘信息。但输入“保险公司网络信息安全”等关键字,仅出现不足30条招聘信息,人才需求程度从侧面反映了目前保险业关注的重点。
值得一提的是,虽然业内整体对网络安全的投入较少,但已有险企意识到网络安全存在的隐患以及网络安全产品未来可能的市场,并开发出了相应的网络安全保险产品。
如华泰财险与京东金融合作此前推出的专门针对互联网个人账户资金安全的“个人账户安全保障保险”,可保障个人名下所有银行卡、网银、第三方账户因盗刷等造成的资金损失,最高可保50万元。平安产险也开发了一款个人账户资金损失保险,能保障网络上第三方账户被盗刷等损失,按照保费标准不同,可提供2万元至50万元不等的保额。
如何排除漏洞
作为国内最早成立的互联网保险公司,众安保险在其年报中提到了现阶段网络信息安全所面临的风险,以及公司解决信息安全漏洞的策略。
众安保险称,公司的业务交易都通过互联网完成,并借助互联网对公众提供大量的客户服务。公司的一部分业务系统都需要对外网提供系统接口,潜在的数据安全风险高于传统的、封闭的内网环境下运行的保险业务系统。同时,公司的业务交易过程大多数无纸质单证,一旦发生数据丢失,将对客户产生巨大的影响,产生严重的经营风险,面临着数据安全相关的信息安全风险。
众安保险表示,为解决这些风险公司在硬件基础平台建设方面,与阿里云计算有限公司进行深度合作,信息系统中的业务与财务数据都存储在阿里云计算机平台,所有数据在同一机房保留3份镜像,并定时远程批量复制到远程存储设备上保存。为保障数据安全,公司制定了安全的、可靠的、全面的备份机制和策略,建立信息系统重大突发性事件紧急预案,有效预防与妥善处置由信息系统重大突发事件引发的公司经营风险。
事实上,保监会在早前曾对保险公司通报过新型网络攻击,并警示部分险企存在的信息安全隐患。
保监会在此前向保险机构下发《网络与信息安全通报》中称,在保险业信息安全检查中,经有关单位检测发现部分保险公司信息系统存在安全隐患。一是某公司应用系统管理员账户存在弱口令,攻击者可轻易获取该公司管理员权限;二是某公司互联网应用系统存在SQL注入和文件上传漏洞;三是部分公司网站采用的ApacheStrutsXwork应用软件版本较低,存在远程代码执行高危漏洞。上述管理或技术漏洞导致系统存在信息泄露、公司网络被攻击等重大信息安全风险隐患。
此外,为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保监会也曾发布《保险公司信息系统安全管理指引(试行)》,并要求保险公司建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
慧择提示:网络安全作为互联网保险发展的一大隐患,各险企需要对此引起足够的重视,重视招聘网络安全专才,维护网站信息安全。通过加强对网络安全的重视,提升企业自身安全发展的同时也能切实维护客户的利益。