600萬條銀行客戶數(shù)據(jù)泄露,監(jiān)管整頓金融科技外包
2023-06-29 13:24:51    騰訊網(wǎng)

摘 要:有關(guān)監(jiān)管《通知》稱,銀行保險機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識,統(tǒng)籌管理科技風(fēng)險,壓實(shí)外包服務(wù)商安全責(zé)任

文|陳洪杰


【資料圖】

編輯|袁滿

“企業(yè)微信服務(wù)商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù),省聯(lián)社大量客戶信息和賬戶信息被竊取,因代理商失誤,銀行的金融交易受影響達(dá)68分鐘......”

針對近期部分銀行保險機(jī)構(gòu)的外包服務(wù)商發(fā)生安全風(fēng)險事件,2023年6月金融監(jiān)管部門下發(fā)的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(下稱《通知》)稱,銀行保險機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識,統(tǒng)籌管理科技風(fēng)險,壓實(shí)外包服務(wù)商安全責(zé)任。

具體來看,在企業(yè)微信服務(wù)風(fēng)險情況通報(bào)中,監(jiān)管部門稱,某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù),將銀行客戶經(jīng)理和客戶的聊天會話存檔在該服務(wù)商租用的公有云服務(wù)器上,會話存檔數(shù)據(jù)包含部分客戶姓名、身份證號、手機(jī)號、銀行賬號等敏感個人信息。未經(jīng)銀行同意,該服務(wù)商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù)用于該公司模型訓(xùn)練,并提供給關(guān)聯(lián)公司。銀行因未盡到對客戶敏感數(shù)據(jù)保護(hù)責(zé)任,引發(fā)消費(fèi)者維權(quán)投訴。

“該事件的主要風(fēng)險和問題:一是銀行保險機(jī)構(gòu)對數(shù)字生態(tài)場景合作情況底數(shù)不清,缺乏統(tǒng)籌管理。開展數(shù)字生態(tài)合作時,銀行保險機(jī)構(gòu)外包風(fēng)險主管部門、科技和數(shù)據(jù)管理部門未參與,缺乏數(shù)據(jù)安全風(fēng)險評估、監(jiān)控管理等機(jī)制,存在突出風(fēng)險隱患。二是銀行保險機(jī)構(gòu)對合作中數(shù)據(jù)安全風(fēng)險和責(zé)任識別劃分不清,存在數(shù)據(jù)收集使用不合規(guī)、安全責(zé)任交叉、數(shù)據(jù)保護(hù)存在盲區(qū)等問題。”上述《通知》稱。

在科技外包風(fēng)險方面,監(jiān)管部門通報(bào)了5個事件,其中包括:2022年8月,4家省聯(lián)社托管在某服務(wù)商的網(wǎng)銀系統(tǒng)因存在越權(quán)訪問漏洞,被不法分子攻破,大量客戶信息和賬戶信息被竊取;某軟件開發(fā)公司負(fù)責(zé)程序投產(chǎn)包發(fā)布的員工,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼。2023年2月,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導(dǎo)致某銀行互聯(lián)網(wǎng)域名解析失敗,在業(yè)務(wù)高峰期影響金融交易達(dá)68分鐘等。

“對于該業(yè)務(wù),監(jiān)管一直都很嚴(yán)格,核心是要求銀行加強(qiáng)對金融數(shù)據(jù)的加密、存儲、傳輸、使用等全流程全生命周期管理?!蹦彻煞葜沏y行總行人士表示。

一位華東地區(qū)農(nóng)商行行長表示,當(dāng)?shù)厥÷?lián)社的科技能力較強(qiáng),該省轄區(qū)內(nèi)的銀行一般不太與第三方合作。但上述《通知》對科技能力較弱的省聯(lián)社以及不少城商行的外包服務(wù)有較大的影響。

這次排查和之前相比力度更大,也更有針對性。“本次更側(cè)重業(yè)務(wù)合作中涉及內(nèi)部重要數(shù)據(jù)和個人客戶敏感信息留存于第三方的場景。監(jiān)管擔(dān)心銀行在這類業(yè)務(wù)層面的合作可能沒有從信息科技外包風(fēng)險的角度管控到位,數(shù)據(jù)安全隱患識別不全面。”某城商行人士稱。

監(jiān)管部門進(jìn)一步提出了以下要求:一是切實(shí)履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)。銀行保險機(jī)構(gòu)應(yīng)加強(qiáng)風(fēng)險評估和盡職調(diào)查,加大監(jiān)控力度和違規(guī)問責(zé),加強(qiáng)對外包服務(wù)商的監(jiān)督管理和實(shí)地檢查,合作結(jié)束后必須下線相關(guān)系統(tǒng)并刪除數(shù)據(jù);強(qiáng)化合同的網(wǎng)絡(luò)和數(shù)據(jù)安全要求條款,驗(yàn)收時嚴(yán)格執(zhí)行安全風(fēng)險檢查,對發(fā)生安全生產(chǎn)事件的要按合同約定進(jìn)行處罰。

二是采取針對性安全保護(hù)措施。銀行保險機(jī)構(gòu)對外提供數(shù)據(jù)應(yīng)按“業(yè)務(wù)必需、最小權(quán)限”原則進(jìn)行,系統(tǒng)和數(shù)據(jù)應(yīng)優(yōu)先在銀行保險機(jī)構(gòu)本地化部署。加強(qiáng)邊界防護(hù)和傳輸保護(hù),建立與外包服務(wù)商的隔離防火墻,不通過即時通訊、網(wǎng)盤、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)。梳理外包服務(wù)商獲取、留存的銀行保險機(jī)構(gòu)數(shù)據(jù),排查個人信息和程序源代碼、系統(tǒng)文檔等內(nèi)部技術(shù)資料,排查缺省賬戶密碼、弱口令、未定期更新口令、明文存儲口令等問題,排查系統(tǒng)和外部產(chǎn)品的漏洞,整改問題隱患。

三是建立健全應(yīng)急處置機(jī)制。銀行保險機(jī)構(gòu)應(yīng)將外包合作場景的事件應(yīng)急處置納入應(yīng)急預(yù)案管理,將涉及外包服務(wù)商的投訴納入投訴管理辦法,要求外包服務(wù)商第一時間報(bào)告自身的安全生產(chǎn)事件和投訴舉報(bào),報(bào)告其產(chǎn)品或服務(wù)發(fā)現(xiàn)的安全缺陷和漏洞等。

“各銀行保險機(jī)構(gòu)應(yīng)對照上述問題,深入排查供應(yīng)鏈風(fēng)險隱患,切實(shí)加強(qiáng)整改。各級派出機(jī)構(gòu)要督促轄內(nèi)銀行保險機(jī)構(gòu)嚴(yán)格落實(shí)上述工作要求,嚴(yán)肅處置因管理不當(dāng)引發(fā)的重大風(fēng)險事件。涉及安全事件的機(jī)構(gòu),要制定風(fēng)險整改方案和計(jì)劃,各級派出機(jī)構(gòu)要加強(qiáng)評估,嚴(yán)格督促,確保落實(shí),不留問題死角。對整改不力的機(jī)構(gòu),要及時采取監(jiān)管措施?!薄锻ㄖ愤€稱。

(作者為《財(cái)經(jīng)》記者)

關(guān)鍵詞: