近日，國內(nèi)互聯(lián)網(wǎng)安全問題反饋平臺烏云曝出某P2P平臺系統(tǒng)存在嚴重安全漏洞。在漏洞說明中，烏云稱“某P2P網(wǎng)貸系統(tǒng)任意上傳漏洞，涉及金錢交易數(shù)千萬”。根據(jù)烏云提供的信息，該漏洞屬高危害級別，目前“已交由第三方廠商 （CNCERT國家互聯(lián)網(wǎng)應急中心）處理”，此外還有7家P2P平臺使用同一系統(tǒng)。

事實上，IT技術一直是P2P行業(yè)的短板，今年年初爆發(fā)的黑客連續(xù)攻擊事件也引起業(yè)界的注意，但對承載著與銀行金融業(yè)務類似的P2P系統(tǒng)，業(yè)內(nèi)人士表示，不及百萬元的系統(tǒng)資金投入仍是不合理的低。

鑒于目前監(jiān)管部門對商業(yè)銀行信息科技風險管理的要求，業(yè)內(nèi)人士表示，隨著對P2P行業(yè)進行監(jiān)管的要求提高，未來將導致行業(yè)洗牌。

P2P系統(tǒng)投入大多不超百萬/

2014年元旦過后，P2P平臺人人貸、拍拍貸、好貸網(wǎng)先后遭遇黑客攻擊。而更多的平臺受攻擊的事件尚未見諸報端，金海貸技術總監(jiān)王業(yè)鋒就曾向 《每日經(jīng)濟新聞》記者表示：“黑客的攻擊是每一個新平臺必經(jīng)的洗禮。”

近日，烏云曝出某P2P平臺系統(tǒng)存在高危安全漏洞，稱“某P2P網(wǎng)貸系統(tǒng)任意上傳漏洞，涉及金錢交易數(shù)千萬”。媒體在后續(xù)的調查中發(fā)現(xiàn)，與出現(xiàn)漏洞的平臺使用同一系統(tǒng)的，還有多達114家網(wǎng)貸平臺。

在年初黑客密集攻擊后，眾多P2P平臺紛紛表示將要在技術安全上加大投入。《每日經(jīng)濟新聞》記者采訪發(fā)現(xiàn)，目前P2P行業(yè)信息安全方面較最初確有提升，但仍與其業(yè)務的高風險性不相匹配。

某銀行技術部門員工楊先生告訴《每日經(jīng)濟新聞》記者，銀行不會完全外購業(yè)務系統(tǒng)，“采購了大公司的模塊，銀行還會加一些定制的東西來確保安全性和個性化需求，有一個自主開發(fā)的過程”，此外，“為了保證采購模塊的安全性，各家銀行根據(jù)自己的需求都有一個安全標準，但驗收難度大且成本很高，所以一般采用權威大公司成熟、穩(wěn)定的產(chǎn)品，比如IBM、Oracle，來保證產(chǎn)品的安全”。

然而，P2P業(yè)務與銀行業(yè)務多有相似之處。對草創(chuàng)未久的P2P平臺，大公司產(chǎn)品昂貴的價格足以讓大部分平臺望而卻步。

網(wǎng)貸之家首席運營官石鵬峰告訴《每日經(jīng)濟新聞》記者，目前一般P2P平臺采用的系統(tǒng)價位在百萬級別以內(nèi)。定制的大概幾十萬，便宜一點的不超過十萬元。這樣的投入對金融業(yè)務系統(tǒng)來說是很低的，所以安全級別大部分是不夠的。而實力比較強的IT公司，原本就在為傳統(tǒng)的、大的金融機構提供服務，報價也會比較高，比如做一套系統(tǒng)甚至可能上千萬元，這是目前大部分P2P平臺難以負擔的。

中匯在線運營總監(jiān)潘春雨也表示：“很多P2P平臺在前期會選擇購買市場上已經(jīng)成熟的軟件，當然這里的成熟只代表在市場上有一定占有率。”

石鵬峰介紹稱，目前做系統(tǒng)外包的公司有20家左右，最大的兩家是貸齊樂和融都，“這兩家都是伴隨著P2P的發(fā)展而成長起來的，成立時間只有一兩年時間”。

專家建議進行第三方安全認證/

“系統(tǒng)安全、穩(wěn)定，功能完善，用戶體驗好，這是每個P2P平臺都要考慮的。”潘春雨向《每日經(jīng)濟新聞》記者表示，“但在選擇系統(tǒng)時，會在一定程度受資金的約束。不同的平臺根據(jù)自身的定位和發(fā)展會選擇不同的成本。網(wǎng)貸平臺一直以來都相對無門檻需要，在這種情況下，嘗試性進入這個行業(yè)的企業(yè)可能在初期都會把成本控制在較低水平。”

對經(jīng)手大量金融數(shù)據(jù)，部分甚至從事類銀行業(yè)務的P2P平臺，技術安全的重要性不言而喻。且因為網(wǎng)貸平臺處于開放的網(wǎng)絡環(huán)境中，其對黑客、病毒的防御在某種意義上甚至比銀行還要復雜。

對傳統(tǒng)的金融機構，監(jiān)管上都有針對信息技術方面的要求，比如，《商業(yè)銀行信息科技風險管理指引》規(guī)定：“商業(yè)銀行應制定符合銀行總體業(yè)務規(guī)劃的信息科技戰(zhàn)略、信息科技運行計劃和信息科技風險評估計劃，確保配置足夠人力、財力資源，維持穩(wěn)定、安全的信息科技環(huán)境。”

上述某銀行技術部門員工楊先生告訴記者，大銀行的技術實力可以從其CMMI評級（最高5）判斷，目前國有大行的CMMI評級多在CMMI2級、CMMI3級，高的達到CMMI4級。

對于目前的P2P行業(yè)，CMMI評級顯然不切實際，即使有一天監(jiān)管部門明確了對信息技術方面的要求，達到監(jiān)管門檻對一些平臺來說也并非易事。

“在限制逐步增加的情況下，最后會導致行業(yè)洗牌的發(fā)生，因為P2P企業(yè)要滿足監(jiān)管需要，要逐步完善，加強軟硬實力，就需要增加成本，從草根平臺轉為高成本的行業(yè)。如果在沒有足夠盈利和資金支持的情況下，小的P2P平臺將是無法生存的。”潘春雨向《每日經(jīng)濟新聞》記者分析表示。

中央財大金融法研究所所長、互聯(lián)網(wǎng)金融千人會會長黃震則認為，P2P平臺作為信息技術平臺，其技術安全是其基本的要求，應該讓第三方安全認證機構參與。安全都不能保障的平臺應該讓其下線，禁止其經(jīng)營。這方面的要求，大可不必等著由銀監(jiān)會提出，現(xiàn)在即可以由信息監(jiān)管部門或地方金融辦提出。