千万条银行数据被泄露?银行金融信息安全的挑战和对策

2021-01-13 14:03:11
韩行长
文章摘要: 1月11日,交通银行在其官网发布声明:针对近日有不法分子在暗网发帖贩卖所谓交行客户信息一事,经系统核查比对,确认与该行真实客户信息不符。该行不存在黑客入侵,不存在客户信息泄漏,已就此报案。

1月8日,有黑客在国外某论坛上发帖,以8.8BTC的总价售卖中国交通银行1679万笔数据。截至发稿前,据CoinCapMarket给出的价格,黑客的要价在两百万人民币左右。

1月11日,交通银行在其官网发布声明:针对近日有不法分子在暗网发帖贩卖所谓交行客户信息一事,经系统核查比对,确认与该行真实客户信息不符。该行不存在黑客入侵,不存在客户信息泄漏,已就此报案。

交行表示,该行始终高度重视数据安全保护工作,通过部署多层次网络安全纵深防御措施,切实保障客户信息安全,交行将积极配合相关部门严厉打击伪造贩卖公民信息、恶意造谣扰乱金融秩序的不法行为。

金融机构信息安全现状及

无独有偶,类似的情况在去年4月同样发生过。

2020年4月11日,在一家境外黑客论坛RAID FORUMS上有用户发帖出售国内多家银行保险机构的数百万条客户数据。

这位名叫“togoodforthisshit”的用户出售的银行保险机构信息包括:80万条上海银行客户数据、46万条兴业银行信用卡用户私人数据、10万条平安保险数据、10万条浦发银行客户数据、6.3万条招商银行金卡客户数据等,事后相关涉及银行保险机构均声明不实。

业内人士分析:近年来信息泄露事件在金融行业层出不穷,金融领域个人信息泄漏的重灾区,这是由于金融行业中个人信息数据更加完备且价值度高,且随着数字化进程不断加快,逐渐成为了各类攻击的首选目标。

随着信息技术的发展,加强金融信息安全保护工作逐渐成为央行的工作重点。

2016年11月,国家出台了《中华人民共和国网络安全法》,明确了网络运营者要重点加强个人数据和重点数据的安全管理,维护国家网络空间主权、安全和发展利益,从源头上保证网络安全。

2018年4月21日,国家领导人在全国网络安全和信息化工作会议上发表讲话,没有网络安全就没有国家安全。

作为关键性基础设施,金融行业安全成为关注焦点。《网络安全法》中指出,关键基础设施主要分布在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,这其中金融行业安全尤为重要。

2018年5月,银保监会印发的《银行业金融机构数据治理指引》明确提出,银行业金融机构应当加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据可比性。应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问权限,监控访问行为,完善数据安全技术,定期审计数据安全。

央行科技司司长李伟曾在发表的文章中提出:“保护好个人金融信息安全是金融风险防范的基础工作,关乎百姓切身利益。在国家相关法律法规的基础上,拟定个人金融信息保护监管规则,明确覆盖金融信息收集、传输、存储、使用、销毁全生命周期的管理要求,从安全策略、访问控制、安全运行、安全监测与风险评估等方面加强个人金融信息安全管理。”

大数据时代银行信息安全存在的问题

在大数据时代,金融信息安全除了受到境外势力的威胁之外,银行自身的问题也同样严峻。

2019年7月3日,银保监会对中信银行进行了行政处罚,罚单金额高达2223.7万元,罚单主要案由就包括两条涉及信息安全,分别是“未向监管部门报告重要信息系统运营中断事件”和“信息系统控制存在较大安全漏洞,未做到有效的安全控制”。

2020年10月21日,中国人民银行发布公告,对六家银行因侵害个人信息被罚逾4000万元。

究其原因,小编总结了以下几点:

一、从业人员安全认知不足

作为金融机构,银行始终承担着重要的社会角色,但一些银行从业人员信息安全技能和信息安全意识,远远没有达到该有的水平。不少银行从业人员认为,信息安全核心是技术问题,与非技术主管部门无关,忽略了“信息安全,人人有责”的基本原则,“木桶效应”中最短板的地方,也就是整个信息安全体系最脆弱的地方。

二、复合型人才匮乏

对于银行而言,银行业务及流程具有复杂而专业的特性。而多数IT行业从业人员对银行业务较为陌生,这不利于银行整个信息安全相关工作的开展。要做好银行业的信息安全相关工作,不仅需要引入专业信息安全人员,还需要熟知银行系统各项业务流程的复合型人才。但实际情况是这类人才较为缺乏,往往需要先引入、再培养。

三、系统繁杂难于管理

银行作为基础金融机构,存在机构多、网点多、分散广的特点。其外部和内部信息系统繁杂。多数银行,其不同等级的单位具有各自的系统开发和发布权限,这也导致了存在维护难、升级难、自查难等难于精细化管理的客观情况。银行信息系统的漏洞修复工作,非常难于做到全面覆盖,甚至有些银行单位在使用早已停止服务的操作系统,这些都对银行的整个信息安全情况埋下了较大的隐患。

四、攻击成本愈发降低

在移动互联网化的大背景下,人们可以随时随地使用互联网资源,银行的业务场景也在此大背景下愈发移动化,通过网络攻击银行的方式越来越容易,攻击成本越来越低,攻击尝试越来越多。这些都对银行信息系统的信息安全保护水平提出了越来越高的要求。

五、信息资源的“透明化”

大数据时代的来临,为人们的日常生活带来了便利,同时也带来了个人信息易暴露的风险。为了顺应互联网时代的发展,银行将面临着经营模式的挑战。越来越多的银行与各行各业开展合作、共享信息、共享渠道、力求发展。然而,在业务开展过程中,系统对接的信息安全防护水平参差不齐,合作单位的信息安全建设水平参差不齐,信息、渠道共享后的管理难度大,这也对公民信息安全的保护带来了较大的风险隐患。

网络大数据时代银行信息安全问题的应对

一、加强对相关人才的重视程度

银行由于所经营业务的专业性和复杂性,与信息安全专业人才的专业能力相结合需要时间成本,银行应有针对性地对引入的信息安全人才进行培养,特别是在银行业务专业领域。

同时已经引入银行的技术工作者要依据网络大数据时代的发展趋势不断地拓展防治意识,进一步地提高银行工作人员、管理人员的个人修养,进而为银行有序的运转奠定良好的基础。

二、提高银行业准入门槛

银行间体量差距是客观存在的事实,部分小型银行甚至没有配置专职科技人员,部分小型银行核心系统均外包或托管给三方科技单位。这些都使得这类银行的信息安全体系建设不能得到很好的保障,相对来说其信息安全风险隐患往往较大型银行大。所以提高银行业的准入门槛,针对银行业信息安全体系建设进行强制的要求,有利于银行业整体信息安全风险的防范。

三、从管理方面加强银行信息安全建设

对于信息安全体系建设,远不局限于信息技术。除了在技术方面提供信息安全防护水平以外,银行也应通过一系列管理手段,提高内部信息安全建设水平,强化内部业务流程管理,加强对银行从业人员信息安全防护教育与培训,建立信息安全管理违规处罚机制。控技术、控流程、控人,三者缺一不可。

另一方面,银行每一个阶级的技术人员、工作人员、领导者,都能不断地增强自身的信息安全意识,提高对保护用户信息数据的重视程度。与此同时,还需要提高对银行信息安全的监察力度,通过银行的管理系统,使得每一位银行工作人员,都认识到信息安全的重要性,进而实施强标准的技术标准。

参考文献:

1.《探究网络大数据时代银行信息安全存在的问题及对策》

2.《中国金融业信息安全调研报告》

信息化软件服务网 - 助力数字中国建设 | 责编:莎莉
文明上网,理性发言!请遵守新闻评论服务协议
评论