金融业数据泄露警钟长鸣!
上证报记者5日从相关渠道获悉,金融监管总局近日向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》)。《通知》中披露了近两年金融业出现的一些数据泄露事件,值得行业警惕。
针对这些事件背后反映出的数据泄露风险,《通知》要求银行保险机构全面开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排査整改。同时,强化“服务外包、责任不外包”的主体意识,切实承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。
(资料图片)
企业微信服务存漏洞
外包服务商数据泄露频发
《通知》披露了多起金融机构外包服务商出现的数据泄露事件:
1、某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022 年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
2、某数据中心托管服务商的客户服务系统存在SQL 注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条员工个人信息。
3、2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。
4、某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS 文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。
此外,金融机构在通过企业微信服务进行数字化转型时,也出现了数据泄露问题。
《通知》指出,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、 手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
摸排整改
监管重拳出击
针对企业微信服务中的数据安全问题,《通知》要求银行保险机构全面开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排査整改。在合同协议中强化数据安全要求 ,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不能扩大合作范围内容。
《通知》还明确加强科技风险统筹管理。要将数字生态合作纳入到银行保险机构的外包风险管理范围,加强统筹管理,科技和数据管理部门应加强外包合作的网络和数据安全管理,加强风险评估和事件处置。
针对外包服务商频频发生的数据泄露事件,《通知》提出,银行保险机构应强化“服务外包、责任不外包”的主体意识,切实承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。
一是切实履行网络和数据安全保护义务。银行保险机构应加强风险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全风险检查,发生安全生产事件的要按合同约定进行处罚。
二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。
三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理,将涉及外包服务商的投诉纳入投诉管理办法,要求外包服务商第一时间报告自身的安全生产事件和投诉举报,报告其产品或服务发现的安全缺陷和漏洞,银行保险机构应将相关事件及时报告监管部门,并及时调查处置相关问题。
招联首席研究员、复旦大学金融研究院兼职研究员董希淼对记者表示,近段时间来,以ChatGPT为代表的生成式对话产品兴起。如果满足合规和风控要求,生成式对话产品将在金融机构数字化转型、提升客户服务水平等方面发挥积极作用。但是,生成式对话产品需要接入很多数据库进行大量训练,会涉及大量的信息和数据。金融机构在与第三方合作中,如何加强网络和信息数据的安全防护,相关机构如何依法合规获取数据进行训练,都需要进一步研究。
“随着数字经济发展,有效监管和法规约束是十分必要的。”董希淼表示,只有相应的法律法规和监管制度实施以后,各市场主体才能够更好地享受大数据带来的便利。对金融机构而言,下一步应从三个方面加以努力:在思想上,要高度重视网络和数据安全管理;在管理上,应建立个人信息数据库分级授权管理制度;在机制上,加强网络和数据安全保护的宣传教育。
(文章来源:上海证券报)
关键词: