摘 要:有關監(jiān)管《通知》稱����,銀行保險機構應強化“服務外包、責任不外包”的主體意識���,統(tǒng)籌管理科技風險�,壓實外包服務商安全責任
文|陳洪杰
【資料圖】
編輯|袁滿
“企業(yè)微信服務商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù),省聯(lián)社大量客戶信息和賬戶信息被竊取����,因代理商失誤,銀行的金融交易受影響達68分鐘......”
針對近期部分銀行保險機構的外包服務商發(fā)生安全風險事件�����,2023年6月金融監(jiān)管部門下發(fā)的《關于加強第三方合作中網(wǎng)絡和數(shù)據(jù)安全管理的通知》(下稱《通知》)稱�,銀行保險機構應強化“服務外包、責任不外包”的主體意識�,統(tǒng)籌管理科技風險,壓實外包服務商安全責任��。
具體來看��,在企業(yè)微信服務風險情況通報中��,監(jiān)管部門稱����,某微信代理商為多家銀行提供企業(yè)微信相關服務,將銀行客戶經(jīng)理和客戶的聊天會話存檔在該服務商租用的公有云服務器上�����,會話存檔數(shù)據(jù)包含部分客戶姓名、身份證號���、手機號��、銀行賬號等敏感個人信息����。未經(jīng)銀行同意����,該服務商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù)用于該公司模型訓練,并提供給關聯(lián)公司�。銀行因未盡到對客戶敏感數(shù)據(jù)保護責任��,引發(fā)消費者維權投訴����。
“該事件的主要風險和問題:一是銀行保險機構對數(shù)字生態(tài)場景合作情況底數(shù)不清,缺乏統(tǒng)籌管理�。開展數(shù)字生態(tài)合作時,銀行保險機構外包風險主管部門��、科技和數(shù)據(jù)管理部門未參與����,缺乏數(shù)據(jù)安全風險評估��、監(jiān)控管理等機制�,存在突出風險隱患�。二是銀行保險機構對合作中數(shù)據(jù)安全風險和責任識別劃分不清,存在數(shù)據(jù)收集使用不合規(guī)��、安全責任交叉���、數(shù)據(jù)保護存在盲區(qū)等問題�?���!鄙鲜觥锻ㄖ贩Q。
在科技外包風險方面����,監(jiān)管部門通報了5個事件,其中包括:2022年8月����,4家省聯(lián)社托管在某服務商的網(wǎng)銀系統(tǒng)因存在越權訪問漏洞,被不法分子攻破,大量客戶信息和賬戶信息被竊?�?����;某軟件開發(fā)公司負責程序投產(chǎn)包發(fā)布的員工�,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼。2023年2月����,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導致某銀行互聯(lián)網(wǎng)域名解析失敗�,在業(yè)務高峰期影響金融交易達68分鐘等。
“對于該業(yè)務��,監(jiān)管一直都很嚴格�,核心是要求銀行加強對金融數(shù)據(jù)的加密、存儲�����、傳輸����、使用等全流程全生命周期管理?���!蹦彻煞葜沏y行總行人士表示。
一位華東地區(qū)農(nóng)商行行長表示�,當?shù)厥÷?lián)社的科技能力較強,該省轄區(qū)內的銀行一般不太與第三方合作���。但上述《通知》對科技能力較弱的省聯(lián)社以及不少城商行的外包服務有較大的影響����。
這次排查和之前相比力度更大�,也更有針對性。“本次更側重業(yè)務合作中涉及內部重要數(shù)據(jù)和個人客戶敏感信息留存于第三方的場景��。監(jiān)管擔心銀行在這類業(yè)務層面的合作可能沒有從信息科技外包風險的角度管控到位�����,數(shù)據(jù)安全隱患識別不全面�。”某城商行人士稱��。
監(jiān)管部門進一步提出了以下要求:一是切實履行網(wǎng)絡和數(shù)據(jù)安全保護義務�。銀行保險機構應加強風險評估和盡職調查�,加大監(jiān)控力度和違規(guī)問責�,加強對外包服務商的監(jiān)督管理和實地檢查,合作結束后必須下線相關系統(tǒng)并刪除數(shù)據(jù)����;強化合同的網(wǎng)絡和數(shù)據(jù)安全要求條款,驗收時嚴格執(zhí)行安全風險檢查���,對發(fā)生安全生產(chǎn)事件的要按合同約定進行處罰�����。
二是采取針對性安全保護措施�。銀行保險機構對外提供數(shù)據(jù)應按“業(yè)務必需�、最小權限”原則進行,系統(tǒng)和數(shù)據(jù)應優(yōu)先在銀行保險機構本地化部署�����。加強邊界防護和傳輸保護����,建立與外包服務商的隔離防火墻�,不通過即時通訊、網(wǎng)盤、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)��。梳理外包服務商獲取�、留存的銀行保險機構數(shù)據(jù),排查個人信息和程序源代碼���、系統(tǒng)文檔等內部技術資料����,排查缺省賬戶密碼����、弱口令、未定期更新口令�����、明文存儲口令等問題�,排查系統(tǒng)和外部產(chǎn)品的漏洞,整改問題隱患���。
三是建立健全應急處置機制�。銀行保險機構應將外包合作場景的事件應急處置納入應急預案管理�,將涉及外包服務商的投訴納入投訴管理辦法�,要求外包服務商第一時間報告自身的安全生產(chǎn)事件和投訴舉報�����,報告其產(chǎn)品或服務發(fā)現(xiàn)的安全缺陷和漏洞等���。
“各銀行保險機構應對照上述問題�����,深入排查供應鏈風險隱患���,切實加強整改。各級派出機構要督促轄內銀行保險機構嚴格落實上述工作要求���,嚴肅處置因管理不當引發(fā)的重大風險事件�����。涉及安全事件的機構�����,要制定風險整改方案和計劃����,各級派出機構要加強評估�����,嚴格督促�����,確保落實�����,不留問題死角�。對整改不力的機構,要及時采取監(jiān)管措施���?!薄锻ㄖ愤€稱�。
(作者為《財經(jīng)》記者)
關鍵詞:
