近日,一則多家銀行客戶數(shù)據(jù)在境外黑客論壇售賣的網(wǎng)帖引起廣泛關(guān)注,多家銀行牽涉其中。
《中國經(jīng)營報(bào)(博客,微博)》記者聯(lián)系到涉及銀行,其中興業(yè)銀行(601166,股吧)、浦發(fā)銀行(600000,股吧)、上海銀行均回應(yīng)“與行內(nèi)真實(shí)客戶信息要素不匹配”;農(nóng)行方面則表示不存在客戶信息泄露問題。
“每年都有銀行大規(guī)模泄露信息的謠言!币幻y行從業(yè)者無奈道。不過,謠言的背后也反映出公眾對(duì)個(gè)人信息數(shù)據(jù),尤其是個(gè)人金融信息數(shù)據(jù)保護(hù)的重視。
商業(yè)銀行手握大量的數(shù)據(jù),這對(duì)銀行的數(shù)據(jù)保護(hù)工作提出高度要求。記者了解到,數(shù)據(jù)分類篩選的重要性逐漸凸顯,已有銀行意識(shí)到數(shù)據(jù)治理的重要性,在做好數(shù)據(jù)防泄密的前提下,對(duì)行內(nèi)前中后臺(tái)數(shù)據(jù)歸類整理,有助于進(jìn)一步挖掘數(shù)據(jù)價(jià)值。
涉及銀行紛紛辟謠
一則“疑似數(shù)家銀行上百萬條用戶數(shù)據(jù)正在被販賣”的網(wǎng)帖引起較大風(fēng)波。該網(wǎng)帖顯示,被售賣的客戶信息涉及農(nóng)業(yè)銀行、上海銀行、興業(yè)銀行、浦發(fā)銀行等多家金融機(jī)構(gòu);客戶信息包括開戶銀行、姓名、年齡、住址、電話號(hào)碼、身份證號(hào)等個(gè)人基本信息等。
消息一經(jīng)傳開,信息泄露是否屬實(shí)、個(gè)人賬戶安全是否受影響等立即成為輿論關(guān)注的焦點(diǎn)。不過,截至發(fā)稿日,網(wǎng)帖中涉及的多家金融機(jī)構(gòu)向記者做出回應(yīng)。
其中,農(nóng)行方面表示:“經(jīng)認(rèn)真核查比對(duì),我行不存在客戶信息泄露問題。我行已向監(jiān)管部門報(bào)告有關(guān)情況,并準(zhǔn)備向公安機(jī)關(guān)報(bào)案!
興業(yè)銀行方面表示:“經(jīng)過深入核查比對(duì),確認(rèn)其中所謂的‘興業(yè)銀行信用卡客戶信息’與我行真實(shí)的客戶信息要素并不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益!
浦發(fā)銀行方面表示:“經(jīng)排查比對(duì),相關(guān)數(shù)據(jù)無我行賬戶信息,且與我行客戶信息要素不符。不排除不法分子將不明來源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售,以牟取非法利益!
上海銀行方面表示:“我行對(duì)所謂‘上海銀行客戶信息’進(jìn)行了詳細(xì)比對(duì),發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息,且與我行真實(shí)客戶信息關(guān)鍵要素并不匹配?烧J(rèn)定該販賣信息非我行泄露數(shù)據(jù),不排除系不法分子為牟取不當(dāng)利益?zhèn)卧、拼湊、出售所謂銀行的客戶信息!
同時(shí),上述銀行均表示,對(duì)于偽冒其信息、損害其商譽(yù)的不法行為,其保留追究其法律責(zé)任的權(quán)利。
此外,上海銀行方面在回復(fù)記者時(shí)補(bǔ)充道:“我行部署多層次網(wǎng)絡(luò)安全縱深防御措施,能夠及時(shí)發(fā)現(xiàn)、遏制網(wǎng)絡(luò)攻擊行為;制定了包括網(wǎng)絡(luò)、數(shù)據(jù)、終端、互聯(lián)網(wǎng)出口層面嚴(yán)格的管控措施。對(duì)于涉及客戶信息的生產(chǎn)網(wǎng)絡(luò),實(shí)施封閉式管理;對(duì)開發(fā)、測試環(huán)境數(shù)據(jù)實(shí)施脫敏處理;對(duì)涉及敏感信息的業(yè)務(wù)系統(tǒng),實(shí)施下載自動(dòng)加密的技術(shù);禁止USB口等外設(shè)的數(shù)據(jù)輸出;通過技防和人防手段加強(qiáng)員工行為監(jiān)測、管理!
記者在采訪中了解到,網(wǎng)傳信息之所以受到關(guān)注,在于內(nèi)容確有一定“可信”之處。比如,此前本報(bào)記者花費(fèi)較低費(fèi)用確實(shí)可以買到諸如姓名、住址等個(gè)人基本信息(詳見本報(bào)2020年4月6日?qǐng)?bào)道《暗網(wǎng)交易兇悍:信息失守正在拓廣金融“黑洞”》)。但有業(yè)內(nèi)人士認(rèn)為,這也不排除是騙局的套路之一,即花費(fèi)較低價(jià)格買到部分正確的基本信息,但涉及銀行賬戶等專業(yè)領(lǐng)域的信息則需要花費(fèi)更高的價(jià)格來購買,而買到的信息則不一定是真實(shí)的。
“目前市場上倒賣的很多數(shù)據(jù)都是不完整的,一些人花了大價(jià)錢買的是假數(shù)據(jù)。”一位金融科技公司人士推測,“不過每年都會(huì)有銀行客戶信息泄露的消息傳開,也可能是安全廠商故意放消息為刺激業(yè)務(wù)!
個(gè)人信息安全受重視
雖然這一消息曝出后被涉及銀行迅速辟謠,但信息防泄密的重要性再次被提上日程,而目前隨著金融業(yè)網(wǎng)絡(luò)化程度不斷提升,個(gè)人信息安全仍面臨一些挑戰(zhàn)。
國家信息技術(shù)安全研究中心總師組專家李京春在接受記者采訪時(shí)表示,目前挑戰(zhàn)主要包括:數(shù)據(jù)開放促進(jìn)數(shù)據(jù)利用與數(shù)據(jù)安全保障個(gè)人信息協(xié)同發(fā)展方面的挑戰(zhàn);保障云計(jì)算、大數(shù)據(jù)、AI(人工智能)、新一代移動(dòng)通信等系統(tǒng)平臺(tái)安全方面存在新的挑戰(zhàn);智能手機(jī)App治理方面也存在新問題和挑戰(zhàn)!敖鹑诘刃袠I(yè)的互聯(lián)網(wǎng)WEB網(wǎng)站系統(tǒng)(業(yè)務(wù)服務(wù)窗口)代碼程序存在命令注入、跨站腳本和信息泄露等多種漏洞或脆弱性,如何發(fā)現(xiàn)和修補(bǔ)這些漏洞、加強(qiáng)網(wǎng)站防護(hù)是一貫的挑戰(zhàn)!崩罹┐罕硎。
“信息系統(tǒng)最大的問題是程序里存在BUG(編程人員邏輯錯(cuò)誤留下的漏洞),以及人為蓄意埋下的后門漏洞,有的漏洞已經(jīng)成為網(wǎng)絡(luò)武器。這些漏洞一旦被黑客發(fā)現(xiàn)和利用就會(huì)泄露個(gè)人信息和重要數(shù)據(jù)。金融等行業(yè)長期委托專業(yè)安全企業(yè)和機(jī)構(gòu)開展網(wǎng)站安全檢測和漏洞修補(bǔ)工作,和黑客賽跑,爭取在黑客發(fā)現(xiàn)之前率先發(fā)現(xiàn)網(wǎng)站漏洞并進(jìn)行修補(bǔ)等應(yīng)急處理,會(huì)大大提高網(wǎng)站的安全性。但也存在黑客得手的時(shí)候?梢哉f網(wǎng)站安全問題是一個(gè)老大難的問題,需要老病新治,從病根上解決問題!崩罹┐罕硎尽
個(gè)人金融信息一旦泄露,會(huì)造成多方麻煩。一位國有大行科技部人士告訴記者:“一旦個(gè)人信息泄露,對(duì)客戶來講容易引起盜刷風(fēng)險(xiǎn)致其資金丟失,甚至影響個(gè)人征信;對(duì)銀行來講,盜刷風(fēng)險(xiǎn)也會(huì)帶來投訴,甚至是糾紛,且應(yīng)訴流程繁雜,銀行的信譽(yù)也會(huì)受損!
該國有大行科技部人士向記者分析:“信息泄露的原因一般分為內(nèi)外兩種,外部來講,一是黑客利用銀行內(nèi)部系統(tǒng)漏洞獲取信息;另一個(gè)是黑客從其他網(wǎng)站盜取用戶密碼,采用拖庫的方式將盜取的用戶密碼在銀行網(wǎng)站上試用,從而造成客戶信息泄露。內(nèi)部來講,主要為銀行內(nèi)部人員作案!
記者檢索裁判文書網(wǎng)了解到,在過去不乏有銀行員工出賣客戶信息的事件發(fā)生,不過隨著科技的發(fā)展和嵌入,“內(nèi)鬼事件”逐漸減少。前述金融科技公司人士向記者分析:“銀行員工泄露客戶數(shù)據(jù)的概率大大降低,因?yàn)榭蛻魯?shù)據(jù)進(jìn)入銀行內(nèi)部經(jīng)過‘在傳輸過程中加密,落地后脫敏’的處理過程,有效保證了信息安全,也就是說銀行工作人員也無法從后臺(tái)看到完整的信息。”由于商業(yè)銀行在內(nèi)部辦公、第三方數(shù)據(jù)交換以及測試系統(tǒng)開發(fā)過程中,存在大量的數(shù)據(jù)交互,如果直接使用未脫敏的數(shù)據(jù),極有可能造成數(shù)據(jù)泄露。某上市城商行信息科技部負(fù)責(zé)人認(rèn)為:“銀行的數(shù)據(jù)安全管理很嚴(yán)格,如果發(fā)生數(shù)據(jù)泄露問題很可能出現(xiàn)在與第三方的業(yè)務(wù)合作中!
在大數(shù)據(jù)、多元場景搭建等新業(yè)態(tài)下,銀行等金融機(jī)構(gòu)如何有效保護(hù)個(gè)人金融信息?
李京春表示:“一是金融業(yè)要進(jìn)一步完善IT治理體系,重點(diǎn)部位、重點(diǎn)崗位實(shí)行雙人制管理,做好重點(diǎn)人的教育、管理和監(jiān)督,落實(shí)相關(guān)法規(guī)制度,提高安全意識(shí)。二是建立網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)和應(yīng)急處理機(jī)制,完善網(wǎng)絡(luò)安全防護(hù)體系。提高威脅發(fā)現(xiàn)能力,提高查全率和查準(zhǔn)率,利用大數(shù)據(jù)和人工智能技術(shù)快速溯源定位。金融業(yè)首先要做到威脅情報(bào)數(shù)據(jù)的共享利用,形成行業(yè)聯(lián)防聯(lián)動(dòng)機(jī)制,最大程度地保護(hù)客戶個(gè)人信息安全。三是創(chuàng)新安全防護(hù)技術(shù),采用動(dòng)態(tài)、擬態(tài)、可信防護(hù)產(chǎn)品,改變網(wǎng)站防護(hù)的被動(dòng)局面。四是建立網(wǎng)絡(luò)違法失信人員黑名單,納入金融網(wǎng)絡(luò)安全征信管理。違法黑客往往違法數(shù)額不大,量刑定罪較輕,不好治理,要進(jìn)一步打擊治理力度,完善治理策略,形成威懾。五是提高App治理水平,加強(qiáng)與有關(guān)部門和機(jī)構(gòu)的合作,依據(jù)國家標(biāo)準(zhǔn),開展數(shù)據(jù)安全能力成熟度評(píng)估,開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,做好等級(jí)保護(hù)工作!
此外,銀行基于自身客戶資源,天然有著豐富的信息數(shù)據(jù),全盤保護(hù)所有的數(shù)據(jù)勢必對(duì)銀行的數(shù)據(jù)保護(hù)工作提出較高要求。前述金融科技公司人員告訴記者:“銀行已意識(shí)到數(shù)據(jù)治理的重要性,一來通過重要性分類篩選關(guān)鍵的重要信息;二來可挖掘數(shù)據(jù)價(jià)值,銀行的一手?jǐn)?shù)據(jù)很有價(jià)值,之前分散在前中后臺(tái)并沒有充分利用起來,隨著大數(shù)據(jù)在各項(xiàng)業(yè)務(wù)中的應(yīng)用加深,銀行通過治理現(xiàn)有數(shù)據(jù)建立自己的數(shù)據(jù)庫尤為重要!
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與和訊網(wǎng)無關(guān)。和訊網(wǎng)站對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。
最新評(píng)論