600萬條銀行客戶數(shù)據(jù)泄露,監(jiān)管整頓金融科技外包
2023-06-29 13:24:51    騰訊網(wǎng)

摘 要:有關(guān)監(jiān)管《通知》稱,銀行保險機構(gòu)應強化“服務外包、責任不外包”的主體意識,統(tǒng)籌管理科技風險,壓實外包服務商安全責任

文|陳洪杰


【資料圖】

編輯|袁滿

“企業(yè)微信服務商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù),省聯(lián)社大量客戶信息和賬戶信息被竊取,因代理商失誤,銀行的金融交易受影響達68分鐘......”

針對近期部分銀行保險機構(gòu)的外包服務商發(fā)生安全風險事件,2023年6月金融監(jiān)管部門下發(fā)的《關(guān)于加強第三方合作中網(wǎng)絡和數(shù)據(jù)安全管理的通知》(下稱《通知》)稱,銀行保險機構(gòu)應強化“服務外包、責任不外包”的主體意識,統(tǒng)籌管理科技風險,壓實外包服務商安全責任。

具體來看,在企業(yè)微信服務風險情況通報中,監(jiān)管部門稱,某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務,將銀行客戶經(jīng)理和客戶的聊天會話存檔在該服務商租用的公有云服務器上,會話存檔數(shù)據(jù)包含部分客戶姓名、身份證號、手機號、銀行賬號等敏感個人信息。未經(jīng)銀行同意,該服務商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù)用于該公司模型訓練,并提供給關(guān)聯(lián)公司。銀行因未盡到對客戶敏感數(shù)據(jù)保護責任,引發(fā)消費者維權(quán)投訴。

“該事件的主要風險和問題:一是銀行保險機構(gòu)對數(shù)字生態(tài)場景合作情況底數(shù)不清,缺乏統(tǒng)籌管理。開展數(shù)字生態(tài)合作時,銀行保險機構(gòu)外包風險主管部門、科技和數(shù)據(jù)管理部門未參與,缺乏數(shù)據(jù)安全風險評估、監(jiān)控管理等機制,存在突出風險隱患。二是銀行保險機構(gòu)對合作中數(shù)據(jù)安全風險和責任識別劃分不清,存在數(shù)據(jù)收集使用不合規(guī)、安全責任交叉、數(shù)據(jù)保護存在盲區(qū)等問題?!鄙鲜觥锻ㄖ贩Q。

在科技外包風險方面,監(jiān)管部門通報了5個事件,其中包括:2022年8月,4家省聯(lián)社托管在某服務商的網(wǎng)銀系統(tǒng)因存在越權(quán)訪問漏洞,被不法分子攻破,大量客戶信息和賬戶信息被竊取;某軟件開發(fā)公司負責程序投產(chǎn)包發(fā)布的員工,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼。2023年2月,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導致某銀行互聯(lián)網(wǎng)域名解析失敗,在業(yè)務高峰期影響金融交易達68分鐘等。

“對于該業(yè)務,監(jiān)管一直都很嚴格,核心是要求銀行加強對金融數(shù)據(jù)的加密、存儲、傳輸、使用等全流程全生命周期管理?!蹦彻煞葜沏y行總行人士表示。

一位華東地區(qū)農(nóng)商行行長表示,當?shù)厥÷?lián)社的科技能力較強,該省轄區(qū)內(nèi)的銀行一般不太與第三方合作。但上述《通知》對科技能力較弱的省聯(lián)社以及不少城商行的外包服務有較大的影響。

這次排查和之前相比力度更大,也更有針對性。“本次更側(cè)重業(yè)務合作中涉及內(nèi)部重要數(shù)據(jù)和個人客戶敏感信息留存于第三方的場景。監(jiān)管擔心銀行在這類業(yè)務層面的合作可能沒有從信息科技外包風險的角度管控到位,數(shù)據(jù)安全隱患識別不全面?!蹦吵巧绦腥耸糠Q。

監(jiān)管部門進一步提出了以下要求:一是切實履行網(wǎng)絡和數(shù)據(jù)安全保護義務。銀行保險機構(gòu)應加強風險評估和盡職調(diào)查,加大監(jiān)控力度和違規(guī)問責,加強對外包服務商的監(jiān)督管理和實地檢查,合作結(jié)束后必須下線相關(guān)系統(tǒng)并刪除數(shù)據(jù);強化合同的網(wǎng)絡和數(shù)據(jù)安全要求條款,驗收時嚴格執(zhí)行安全風險檢查,對發(fā)生安全生產(chǎn)事件的要按合同約定進行處罰。

二是采取針對性安全保護措施。銀行保險機構(gòu)對外提供數(shù)據(jù)應按“業(yè)務必需、最小權(quán)限”原則進行,系統(tǒng)和數(shù)據(jù)應優(yōu)先在銀行保險機構(gòu)本地化部署。加強邊界防護和傳輸保護,建立與外包服務商的隔離防火墻,不通過即時通訊、網(wǎng)盤、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)。梳理外包服務商獲取、留存的銀行保險機構(gòu)數(shù)據(jù),排查個人信息和程序源代碼、系統(tǒng)文檔等內(nèi)部技術(shù)資料,排查缺省賬戶密碼、弱口令、未定期更新口令、明文存儲口令等問題,排查系統(tǒng)和外部產(chǎn)品的漏洞,整改問題隱患。

三是建立健全應急處置機制。銀行保險機構(gòu)應將外包合作場景的事件應急處置納入應急預案管理,將涉及外包服務商的投訴納入投訴管理辦法,要求外包服務商第一時間報告自身的安全生產(chǎn)事件和投訴舉報,報告其產(chǎn)品或服務發(fā)現(xiàn)的安全缺陷和漏洞等。

“各銀行保險機構(gòu)應對照上述問題,深入排查供應鏈風險隱患,切實加強整改。各級派出機構(gòu)要督促轄內(nèi)銀行保險機構(gòu)嚴格落實上述工作要求,嚴肅處置因管理不當引發(fā)的重大風險事件。涉及安全事件的機構(gòu),要制定風險整改方案和計劃,各級派出機構(gòu)要加強評估,嚴格督促,確保落實,不留問題死角。對整改不力的機構(gòu),要及時采取監(jiān)管措施。”《通知》還稱。

(作者為《財經(jīng)》記者)

關(guān)鍵詞: