电信变革带来的风险是否影响保险信息安全_云计算_电信

电信变革带来的风险是否影响保险信息安全

王薇 2011/11/01

　　据美国通信欺诈管制协会估计，每年由于电信欺诈而导致的收入损失超过 600亿美元。对于某些电信企业而言，欺诈造成的损失占到年收入的20-30%。在全球范围内，电信欺诈已经以不同形式存在了数十年。从20世纪70年代的付费电话盗打，到20世纪80年代的干扰收费表，再到20世纪90年代的电话卡欺诈，每种新一代电信技术均伴随着新的风险源。

　　惠普新近发布的电信行业企业信息安全白皮书《保护下一代电信服务的安全性和可用性》（以下简称惠普《白皮书》）显示：过去几年来，电信行业已开始另一种主要业务与技术变革。这一变革趋势在创造了新的收入来源的同时，也带来了重大网络安全风险。据记者了解，近两年，保险业与电信业的合作正在日益密切，电信变革带来的风险势必对保险信息安全带来影响。

　　迁移IP网络的风险

　　电信企业只提供语音服务的时代已经一去不复返了。手机市场的饱和与消费者的融合需求正在迅速推动向基于 IP的3G网络的迁移，以用来提供语音、数据、互联网、视频及其他内容的服务。

　　IBM对电信企业开展的一项名为《运营商服务安全状态》的调查发现，到 2012年，超过85%的电信服务供应商将完成这种迁移。作为该迁移的一部分，电信供应商正将以前关闭的网络连接至其他运营商网络、专用网络/企业网络、内容供应商和公共互联网。

　　惠普《白皮书》分析，该趋势除了通过提供新服务来支持增加收入之外，也会将电信网络暴露给基于IP的恶意软件变种（如蠕虫、木马等病毒）。多年来，有线服务供应商一直饱受这些恶意软件的威胁。

　　据记者了解，以前保险信息安全主要集中在磁盘、U盘、笔记本电脑等数据存储介质方面，数据存储介质的丢失或被盗，造成客户资料被转卖。随着保险公司和电信行业合作的开展，黑客攻击网站获取保险公司机密数据成为新的风险。

　　智能手机融入的风险

　　研究机构明特尔发表的《2008 年移动设备市场报告》表明，智能手机的销售额在短短两年内涨幅就已超过150%，而同期标准手机在销售额和市场占有率两方面均有所下降。电信企业借助智能手机，通过向现有客户向上销售多媒体数据服务，可从每个客户身上获得更多收入。随着智能手机将内置信用卡芯片转变为电子钱包，电信企业可能会找到利用这一趋势盈利的其他机遇。但是，这一技术融合也伴随着同等的融合风险。此外，消费者正使用智能手机来查看其银行存款，并进行电子商务交易，因而吸引了更多的移动设备恶意软件。

　　这一技术融合也伴随着同等的融合风险。惠普《白皮书》指出：智能手机引入了应用媒介，支持终端用户直接安装软件，同时也支持具有众多已知漏洞的操作系统和协议。此外，消费者正使用智能手机来查看其银行存款，并进行电子商务交易，因而吸引了更多的移动设备恶意软件。

　　这一风险也值得保险业警惕，目前已有许多保险公司推出了智能手机短信服务。通过这项服务，有的寿险公司可以第一时间以手机短信的方式将生存给付提醒、分红领取提醒、万能保险结算利率公告、续期缴费提醒、理赔结果通知等保单服务中的重要信息同步传递给客户和代理人。如何防范移动智能手机免遭恶意软件的攻击，成为保障保险信息安全的新课题。

　　行业整合的风险

　　惠普《白皮书》判断，随着很多国家/地区移动电话服务的普及率达到或超过 100%，一些电信企业正在收购新兴市场（亚洲、非洲和东欧）中的公司，以扩大其影响范围。技术融合是行业整合的另一驱动因素。电信企业目前正在收购相关公司，以实现其“四网（包含互联网、电视、移动和固定线路服务）融合”的目标。

　　行业整合在帮助电信领先企业扩张的同时，也导致了内部欺诈和数据泄漏的情况上升。内部欺诈涉及多种活动，诸如直接将服务应用于交换机以绕过计费系统、暂停生成使用跟踪数据、或从计费系统中删除记录等。保险公司借助网络开展的网络保险业务，也势必受到信息安全的影响。

　　惠普《白皮书》表示，从历史上看，检测一直依赖于对计费应用程序及其他应用程序的访问进行监控，但是收购引发了新的复杂性。比如说，手机公司收购了采用不同计费系统的有线电视运营商。在此种情况下，在拥有独立访问控制机制的应用中，监控运营商的活动将变得更加困难。收购之后缓慢的技术整合过程，也可能会导致中断的用户对敏感数据的持续网络访问。

　　数据保留和监管失察的风险

　　电信行业正在获取更多的人口统计和交易数据，以便了解客户的使用偏好，执行有针对性的向上销售营销方案。保险公司也期望通过这些数据来制定开发和推广战略。对这一趋势，惠普《白皮书》也提示了风险：这些信息除了提供有价值的消费者感受之外，还使电信行业成为进行身份盗窃的诱人目标。同时，它还迫使电信行业遵守行业强制命令（如 PCI及其他隐私权法）。

　　反恐是电信行业中长期保留数据的另一个驱动因素。通过对2004年马德里列车爆炸案和2005年伦敦地铁爆炸案进行调查，官方强调了呼叫数据记录的重要性，而这促成了欧盟数据保留指令的颁布。类似的立法活动也正在世界其他地区进行。电信行业需要一种解决方案，该解决方案不仅需要有效存储、查询大量通话详细记录和互联网流量，同时还需要能够防止对相关信息进行未经授权的访问。多数电信企业均为大型公共实体，他们已经受《萨班斯 — 奥克斯利法案》、《巴塞尔协议Ⅱ》或其他国家/地区的类似法规的约束。这些新的隐私权法和反恐法进一步加剧了多数电信企业的现有负担。

　　业务流程外包的风险

　　惠普《白皮书》预计，随着电信行业持续私有化，企业利润持续下降，全球竞争将日益加剧。同时，在任何经济衰退期间，全球范围内的电信企业均会严重受挫，因为消费者会选择回避费用昂贵的附加服务。这一运营成本压力已迫使电信企业将客户服务、后台操作、人力资源及并非核心竞争力的其他职能外包。除了预期的成本效益之外，业务流程外包已造成更多形式的电信欺诈和数据泄漏出现。

　　具体而言，两个原因导致外包客户服务中心成为电信欺诈常见的目标。首先，电信企业在其销售和服务数据库中集中了大量敏感客户信息（财务和人口统计信息）。这就使得呼叫中心成为了数据泄漏的首要目标。其次，呼叫中心的员工通常很年轻，经验不足，待遇低，因此其流动率较高。有犯罪组织团伙通常将自己的人员安插在呼叫中心，贿赂员工泄露客户数据，或在执行欺诈的过程中相互勾结。

　　据业内人士介绍，随着保险业的快速发展，保险数据管理已给各家保险公司带来巨大压力。一些保险公司正尝试以外包方式破解数据管理难题，此方式一可节约成本，二可加快数据集中进程。但数据外包可能引致的信息泄露风险需采取有效措施加以防范。

　　托管安全服务的风险

　　具有讽刺意味的是，托管安全服务在增加了网络威胁的同时，也为电信企业创造了收入的机遇。2007年度《IBM 运营商服务安全状态》报告显示，80% 以上的电信企业相信，到 2012年，云计算托管安全服务将成为主要的收入来源。惠普《白皮书》指出，虽然其看似矛盾，但这一趋势是合理的。不同行业的企业正在面临着日益严重的网络犯罪威胁，这些企业将会发现，构建和维护用来保护自身的安全专业技术变得越来越困难。影响企业的外部威胁将会遍及由服务供应商所拥有和托管的核心网络。

　　电信企业在其下一代高带宽网络中将会拥有显著提高的容量。与此同时，他们也需要构建用于托管和保护这些网络的安全专业技术。因此，电信企业非常适于检测和应对针对其业务客户的网络威胁。

　　电信企业在成功启动托管安全服务方面，面临着两个障碍；第一，他们必须拥有保护其自身数据和网络的良好记录；第二，企业面临着日益增加的内部威胁，但是电信企业通常无权访问内部网络。能够成功建立信任，并为客户的内部和外部网络提供安全管理服务的电信企业，将具有明显的竞争优势。

　　保险专业人士表示，目前国内大部分的保险公司在云计算方面还处于虚拟化阶段，因此，首先要了解云计算，其次要思考云计算将会对保险公司的业务有什么影响，再次要考虑IT技术对业务能够有什么帮助。一些业内人士对云计算托管安全表示了担忧：“云计算的一个核心问题是怎么解决安全性，因为对于保险公司来说，数据一旦丢失，将会造成巨大的信用危机。这不仅仅是要靠保险自身，更多的还期待国家法律法规以及监管部门的推进。”

中国保险报