近日��,一則多家銀行客戶數(shù)據(jù)在境外黑客論壇售賣的網(wǎng)帖引起廣泛關(guān)注,多家銀行牽涉其中�。
《中國經(jīng)營報(博客,微博)》記者聯(lián)系到涉及銀行,其中興業(yè)銀行(601166,股吧)�����、浦發(fā)銀行(600000,股吧)���、上海銀行均回應(yīng)“與行內(nèi)真實(shí)客戶信息要素不匹配”�;農(nóng)行方面則表示不存在客戶信息泄露問題�。
“每年都有銀行大規(guī)模泄露信息的謠言��!币幻y行從業(yè)者無奈道���。不過���,謠言的背后也反映出公眾對個人信息數(shù)據(jù),尤其是個人金融信息數(shù)據(jù)保護(hù)的重視��。
商業(yè)銀行手握大量的數(shù)據(jù)��,這對銀行的數(shù)據(jù)保護(hù)工作提出高度要求���。記者了解到�,數(shù)據(jù)分類篩選的重要性逐漸凸顯,已有銀行意識到數(shù)據(jù)治理的重要性���,在做好數(shù)據(jù)防泄密的前提下��,對行內(nèi)前中后臺數(shù)據(jù)歸類整理�,有助于進(jìn)一步挖掘數(shù)據(jù)價值����。
涉及銀行紛紛辟謠
一則“疑似數(shù)家銀行上百萬條用戶數(shù)據(jù)正在被販賣”的網(wǎng)帖引起較大風(fēng)波。該網(wǎng)帖顯示����,被售賣的客戶信息涉及農(nóng)業(yè)銀行、上海銀行���、興業(yè)銀行、浦發(fā)銀行等多家金融機(jī)構(gòu)�����;客戶信息包括開戶銀行�����、姓名、年齡����、住址、電話號碼��、身份證號等個人基本信息等�。
消息一經(jīng)傳開,信息泄露是否屬實(shí)���、個人賬戶安全是否受影響等立即成為輿論關(guān)注的焦點(diǎn)����。不過����,截至發(fā)稿日,網(wǎng)帖中涉及的多家金融機(jī)構(gòu)向記者做出回應(yīng)�。
其中,農(nóng)行方面表示:“經(jīng)認(rèn)真核查比對�,我行不存在客戶信息泄露問題。我行已向監(jiān)管部門報告有關(guān)情況���,并準(zhǔn)備向公安機(jī)關(guān)報案����。”
興業(yè)銀行方面表示:“經(jīng)過深入核查比對��,確認(rèn)其中所謂的‘興業(yè)銀行信用卡客戶信息’與我行真實(shí)的客戶信息要素并不吻合���,不排除系不法分子偽造�����、售賣所謂銀行客戶信息牟取不當(dāng)利益���!
浦發(fā)銀行方面表示:“經(jīng)排查比對��,相關(guān)數(shù)據(jù)無我行賬戶信息����,且與我行客戶信息要素不符。不排除不法分子將不明來源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售��,以牟取非法利益����。”
上海銀行方面表示:“我行對所謂‘上海銀行客戶信息’進(jìn)行了詳細(xì)比對��,發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息���,且與我行真實(shí)客戶信息關(guān)鍵要素并不匹配���。可認(rèn)定該販賣信息非我行泄露數(shù)據(jù)���,不排除系不法分子為牟取不當(dāng)利益?zhèn)卧�、拼湊���、出售所謂銀行的客戶信息�����!
同時,上述銀行均表示����,對于偽冒其信息����、損害其商譽(yù)的不法行為�,其保留追究其法律責(zé)任的權(quán)利。
此外���,上海銀行方面在回復(fù)記者時補(bǔ)充道:“我行部署多層次網(wǎng)絡(luò)安全縱深防御措施��,能夠及時發(fā)現(xiàn)����、遏制網(wǎng)絡(luò)攻擊行為�����;制定了包括網(wǎng)絡(luò)���、數(shù)據(jù)�����、終端���、互聯(lián)網(wǎng)出口層面嚴(yán)格的管控措施���。對于涉及客戶信息的生產(chǎn)網(wǎng)絡(luò)�����,實(shí)施封閉式管理�����;對開發(fā)���、測試環(huán)境數(shù)據(jù)實(shí)施脫敏處理����;對涉及敏感信息的業(yè)務(wù)系統(tǒng)����,實(shí)施下載自動加密的技術(shù);禁止USB口等外設(shè)的數(shù)據(jù)輸出�;通過技防和人防手段加強(qiáng)員工行為監(jiān)測、管理��。”
記者在采訪中了解到�,網(wǎng)傳信息之所以受到關(guān)注,在于內(nèi)容確有一定“可信”之處�����。比如�����,此前本報記者花費(fèi)較低費(fèi)用確實(shí)可以買到諸如姓名�����、住址等個人基本信息(詳見本報2020年4月6日報道《暗網(wǎng)交易兇悍:信息失守正在拓廣金融“黑洞”》)���。但有業(yè)內(nèi)人士認(rèn)為�,這也不排除是騙局的套路之一����,即花費(fèi)較低價格買到部分正確的基本信息,但涉及銀行賬戶等專業(yè)領(lǐng)域的信息則需要花費(fèi)更高的價格來購買���,而買到的信息則不一定是真實(shí)的��。
“目前市場上倒賣的很多數(shù)據(jù)都是不完整的��,一些人花了大價錢買的是假數(shù)據(jù)�。”一位金融科技公司人士推測����,“不過每年都會有銀行客戶信息泄露的消息傳開��,也可能是安全廠商故意放消息為刺激業(yè)務(wù)�������!
個人信息安全受重視
雖然這一消息曝出后被涉及銀行迅速辟謠�,但信息防泄密的重要性再次被提上日程,而目前隨著金融業(yè)網(wǎng)絡(luò)化程度不斷提升����,個人信息安全仍面臨一些挑戰(zhàn)。
國家信息技術(shù)安全研究中心總師組專家李京春在接受記者采訪時表示��,目前挑戰(zhàn)主要包括:數(shù)據(jù)開放促進(jìn)數(shù)據(jù)利用與數(shù)據(jù)安全保障個人信息協(xié)同發(fā)展方面的挑戰(zhàn)�����;保障云計算、大數(shù)據(jù)�、AI(人工智能)、新一代移動通信等系統(tǒng)平臺安全方面存在新的挑戰(zhàn)��;智能手機(jī)App治理方面也存在新問題和挑戰(zhàn)�����!敖鹑诘刃袠I(yè)的互聯(lián)網(wǎng)WEB網(wǎng)站系統(tǒng)(業(yè)務(wù)服務(wù)窗口)代碼程序存在命令注入����、跨站腳本和信息泄露等多種漏洞或脆弱性��,如何發(fā)現(xiàn)和修補(bǔ)這些漏洞���、加強(qiáng)網(wǎng)站防護(hù)是一貫的挑戰(zhàn)��!崩罹┐罕硎尽
“信息系統(tǒng)最大的問題是程序里存在BUG(編程人員邏輯錯誤留下的漏洞)����,以及人為蓄意埋下的后門漏洞���,有的漏洞已經(jīng)成為網(wǎng)絡(luò)武器。這些漏洞一旦被黑客發(fā)現(xiàn)和利用就會泄露個人信息和重要數(shù)據(jù)�。金融等行業(yè)長期委托專業(yè)安全企業(yè)和機(jī)構(gòu)開展網(wǎng)站安全檢測和漏洞修補(bǔ)工作,和黑客賽跑��,爭取在黑客發(fā)現(xiàn)之前率先發(fā)現(xiàn)網(wǎng)站漏洞并進(jìn)行修補(bǔ)等應(yīng)急處理����,會大大提高網(wǎng)站的安全性。但也存在黑客得手的時候������?梢哉f網(wǎng)站安全問題是一個老大難的問題�����,需要老病新治�,從病根上解決問題��!崩罹┐罕硎�����。
個人金融信息一旦泄露,會造成多方麻煩��。一位國有大行科技部人士告訴記者:“一旦個人信息泄露�,對客戶來講容易引起盜刷風(fēng)險致其資金丟失,甚至影響個人征信����;對銀行來講,盜刷風(fēng)險也會帶來投訴��,甚至是糾紛����,且應(yīng)訴流程繁雜,銀行的信譽(yù)也會受損��������!
該國有大行科技部人士向記者分析:“信息泄露的原因一般分為內(nèi)外兩種�����,外部來講���,一是黑客利用銀行內(nèi)部系統(tǒng)漏洞獲取信息�;另一個是黑客從其他網(wǎng)站盜取用戶密碼��,采用拖庫的方式將盜取的用戶密碼在銀行網(wǎng)站上試用���,從而造成客戶信息泄露��。內(nèi)部來講����,主要為銀行內(nèi)部人員作案���。”
記者檢索裁判文書網(wǎng)了解到�����,在過去不乏有銀行員工出賣客戶信息的事件發(fā)生���,不過隨著科技的發(fā)展和嵌入����,“內(nèi)鬼事件”逐漸減少。前述金融科技公司人士向記者分析:“銀行員工泄露客戶數(shù)據(jù)的概率大大降低���,因?yàn)榭蛻魯?shù)據(jù)進(jìn)入銀行內(nèi)部經(jīng)過‘在傳輸過程中加密���,落地后脫敏’的處理過程,有效保證了信息安全��,也就是說銀行工作人員也無法從后臺看到完整的信息����������!庇捎谏虡I(yè)銀行在內(nèi)部辦公��、第三方數(shù)據(jù)交換以及測試系統(tǒng)開發(fā)過程中�����,存在大量的數(shù)據(jù)交互,如果直接使用未脫敏的數(shù)據(jù)����,極有可能造成數(shù)據(jù)泄露。某上市城商行信息科技部負(fù)責(zé)人認(rèn)為:“銀行的數(shù)據(jù)安全管理很嚴(yán)格�����,如果發(fā)生數(shù)據(jù)泄露問題很可能出現(xiàn)在與第三方的業(yè)務(wù)合作中����。”
在大數(shù)據(jù)����、多元場景搭建等新業(yè)態(tài)下,銀行等金融機(jī)構(gòu)如何有效保護(hù)個人金融信息�����?
李京春表示:“一是金融業(yè)要進(jìn)一步完善IT治理體系�����,重點(diǎn)部位�����、重點(diǎn)崗位實(shí)行雙人制管理����,做好重點(diǎn)人的教育、管理和監(jiān)督����,落實(shí)相關(guān)法規(guī)制度,提高安全意識����。二是建立網(wǎng)絡(luò)安全態(tài)勢感知平臺和應(yīng)急處理機(jī)制,完善網(wǎng)絡(luò)安全防護(hù)體系���。提高威脅發(fā)現(xiàn)能力��,提高查全率和查準(zhǔn)率�����,利用大數(shù)據(jù)和人工智能技術(shù)快速溯源定位���。金融業(yè)首先要做到威脅情報數(shù)據(jù)的共享利用,形成行業(yè)聯(lián)防聯(lián)動機(jī)制,最大程度地保護(hù)客戶個人信息安全�����。三是創(chuàng)新安全防護(hù)技術(shù)����,采用動態(tài)、擬態(tài)�、可信防護(hù)產(chǎn)品,改變網(wǎng)站防護(hù)的被動局面����。四是建立網(wǎng)絡(luò)違法失信人員黑名單,納入金融網(wǎng)絡(luò)安全征信管理����。違法黑客往往違法數(shù)額不大,量刑定罪較輕�,不好治理,要進(jìn)一步打擊治理力度��,完善治理策略�,形成威懾。五是提高App治理水平�,加強(qiáng)與有關(guān)部門和機(jī)構(gòu)的合作,依據(jù)國家標(biāo)準(zhǔn)�,開展數(shù)據(jù)安全能力成熟度評估,開展網(wǎng)絡(luò)安全風(fēng)險評估�,做好等級保護(hù)工作�!
此外,銀行基于自身客戶資源���,天然有著豐富的信息數(shù)據(jù)�,全盤保護(hù)所有的數(shù)據(jù)勢必對銀行的數(shù)據(jù)保護(hù)工作提出較高要求�。前述金融科技公司人員告訴記者:“銀行已意識到數(shù)據(jù)治理的重要性,一來通過重要性分類篩選關(guān)鍵的重要信息����;二來可挖掘數(shù)據(jù)價值,銀行的一手?jǐn)?shù)據(jù)很有價值���,之前分散在前中后臺并沒有充分利用起來�����,隨著大數(shù)據(jù)在各項(xiàng)業(yè)務(wù)中的應(yīng)用加深����,銀行通過治理現(xiàn)有數(shù)據(jù)建立自己的數(shù)據(jù)庫尤為重要���!
(責(zé)任編輯:李悅 )
最新評論