摘 要:有關(guān)監(jiān)管《通知》稱,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí),統(tǒng)籌管理科技風(fēng)險(xiǎn),壓實(shí)外包服務(wù)商安全責(zé)任
文|陳洪杰
【資料圖】
編輯|袁滿
“企業(yè)微信服務(wù)商私自使用數(shù)家銀行600余萬條會(huì)話存檔數(shù)據(jù),省聯(lián)社大量客戶信息和賬戶信息被竊取,因代理商失誤,銀行的金融交易受影響達(dá)68分鐘......”
針對近期部分銀行保險(xiǎn)機(jī)構(gòu)的外包服務(wù)商發(fā)生安全風(fēng)險(xiǎn)事件,2023年6月金融監(jiān)管部門下發(fā)的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(下稱《通知》)稱,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí),統(tǒng)籌管理科技風(fēng)險(xiǎn),壓實(shí)外包服務(wù)商安全責(zé)任。
具體來看,在企業(yè)微信服務(wù)風(fēng)險(xiǎn)情況通報(bào)中,監(jiān)管部門稱,某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù),將銀行客戶經(jīng)理和客戶的聊天會(huì)話存檔在該服務(wù)商租用的公有云服務(wù)器上,會(huì)話存檔數(shù)據(jù)包含部分客戶姓名、身份證號、手機(jī)號、銀行賬號等敏感個(gè)人信息。未經(jīng)銀行同意,該服務(wù)商私自使用數(shù)家銀行600余萬條會(huì)話存檔數(shù)據(jù)用于該公司模型訓(xùn)練,并提供給關(guān)聯(lián)公司。銀行因未盡到對客戶敏感數(shù)據(jù)保護(hù)責(zé)任,引發(fā)消費(fèi)者維權(quán)投訴。
“該事件的主要風(fēng)險(xiǎn)和問題:一是銀行保險(xiǎn)機(jī)構(gòu)對數(shù)字生態(tài)場景合作情況底數(shù)不清,缺乏統(tǒng)籌管理。開展數(shù)字生態(tài)合作時(shí),銀行保險(xiǎn)機(jī)構(gòu)外包風(fēng)險(xiǎn)主管部門、科技和數(shù)據(jù)管理部門未參與,缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)評估、監(jiān)控管理等機(jī)制,存在突出風(fēng)險(xiǎn)隱患。二是銀行保險(xiǎn)機(jī)構(gòu)對合作中數(shù)據(jù)安全風(fēng)險(xiǎn)和責(zé)任識(shí)別劃分不清,存在數(shù)據(jù)收集使用不合規(guī)、安全責(zé)任交叉、數(shù)據(jù)保護(hù)存在盲區(qū)等問題。”上述《通知》稱。
在科技外包風(fēng)險(xiǎn)方面,監(jiān)管部門通報(bào)了5個(gè)事件,其中包括:2022年8月,4家省聯(lián)社托管在某服務(wù)商的網(wǎng)銀系統(tǒng)因存在越權(quán)訪問漏洞,被不法分子攻破,大量客戶信息和賬戶信息被竊??;某軟件開發(fā)公司負(fù)責(zé)程序投產(chǎn)包發(fā)布的員工,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼。2023年2月,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導(dǎo)致某銀行互聯(lián)網(wǎng)域名解析失敗,在業(yè)務(wù)高峰期影響金融交易達(dá)68分鐘等。
“對于該業(yè)務(wù),監(jiān)管一直都很嚴(yán)格,核心是要求銀行加強(qiáng)對金融數(shù)據(jù)的加密、存儲(chǔ)、傳輸、使用等全流程全生命周期管理?!蹦彻煞葜沏y行總行人士表示。
一位華東地區(qū)農(nóng)商行行長表示,當(dāng)?shù)厥÷?lián)社的科技能力較強(qiáng),該省轄區(qū)內(nèi)的銀行一般不太與第三方合作。但上述《通知》對科技能力較弱的省聯(lián)社以及不少城商行的外包服務(wù)有較大的影響。
這次排查和之前相比力度更大,也更有針對性。“本次更側(cè)重業(yè)務(wù)合作中涉及內(nèi)部重要數(shù)據(jù)和個(gè)人客戶敏感信息留存于第三方的場景。監(jiān)管擔(dān)心銀行在這類業(yè)務(wù)層面的合作可能沒有從信息科技外包風(fēng)險(xiǎn)的角度管控到位,數(shù)據(jù)安全隱患識(shí)別不全面?!蹦吵巧绦腥耸糠Q。
監(jiān)管部門進(jìn)一步提出了以下要求:一是切實(shí)履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)加強(qiáng)風(fēng)險(xiǎn)評估和盡職調(diào)查,加大監(jiān)控力度和違規(guī)問責(zé),加強(qiáng)對外包服務(wù)商的監(jiān)督管理和實(shí)地檢查,合作結(jié)束后必須下線相關(guān)系統(tǒng)并刪除數(shù)據(jù);強(qiáng)化合同的網(wǎng)絡(luò)和數(shù)據(jù)安全要求條款,驗(yàn)收時(shí)嚴(yán)格執(zhí)行安全風(fēng)險(xiǎn)檢查,對發(fā)生安全生產(chǎn)事件的要按合同約定進(jìn)行處罰。
二是采取針對性安全保護(hù)措施。銀行保險(xiǎn)機(jī)構(gòu)對外提供數(shù)據(jù)應(yīng)按“業(yè)務(wù)必需、最小權(quán)限”原則進(jìn)行,系統(tǒng)和數(shù)據(jù)應(yīng)優(yōu)先在銀行保險(xiǎn)機(jī)構(gòu)本地化部署。加強(qiáng)邊界防護(hù)和傳輸保護(hù),建立與外包服務(wù)商的隔離防火墻,不通過即時(shí)通訊、網(wǎng)盤、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)。梳理外包服務(wù)商獲取、留存的銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù),排查個(gè)人信息和程序源代碼、系統(tǒng)文檔等內(nèi)部技術(shù)資料,排查缺省賬戶密碼、弱口令、未定期更新口令、明文存儲(chǔ)口令等問題,排查系統(tǒng)和外部產(chǎn)品的漏洞,整改問題隱患。
三是建立健全應(yīng)急處置機(jī)制。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)將外包合作場景的事件應(yīng)急處置納入應(yīng)急預(yù)案管理,將涉及外包服務(wù)商的投訴納入投訴管理辦法,要求外包服務(wù)商第一時(shí)間報(bào)告自身的安全生產(chǎn)事件和投訴舉報(bào),報(bào)告其產(chǎn)品或服務(wù)發(fā)現(xiàn)的安全缺陷和漏洞等。
“各銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對照上述問題,深入排查供應(yīng)鏈風(fēng)險(xiǎn)隱患,切實(shí)加強(qiáng)整改。各級派出機(jī)構(gòu)要督促轄內(nèi)銀行保險(xiǎn)機(jī)構(gòu)嚴(yán)格落實(shí)上述工作要求,嚴(yán)肅處置因管理不當(dāng)引發(fā)的重大風(fēng)險(xiǎn)事件。涉及安全事件的機(jī)構(gòu),要制定風(fēng)險(xiǎn)整改方案和計(jì)劃,各級派出機(jī)構(gòu)要加強(qiáng)評估,嚴(yán)格督促,確保落實(shí),不留問題死角。對整改不力的機(jī)構(gòu),要及時(shí)采取監(jiān)管措施?!薄锻ㄖ愤€稱。
(作者為《財(cái)經(jīng)》記者)
關(guān)鍵詞:
2023-06-29 13:01:57
2023-06-29 12:33:18
2023-06-29 12:07:06
2023-06-29 11:41:03