近日,涉及國內(nèi)多家銀行的數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標價兜售的消息廣為流傳。盡管涉事的各家銀行在進行數(shù)據(jù)比對核查之后,均否認了被兜售數(shù)據(jù)資料包的真實性,但是牽涉面甚廣的龐大金融數(shù)據(jù),尤其是銀行用戶涉敏信息的安全性如何保障,仍持續(xù)在行業(yè)引發(fā)關(guān)注、研討。
截至2019年底,我國開立銀行賬戶113.52億戶,全國人均擁有銀行賬戶數(shù)達8.09戶。這些賬戶安全誰來守護?尤其是,伴隨銀行線下業(yè)務(wù)線上化、與流量方邊界日益拓寬等新變化,也給銀行數(shù)據(jù)安全管理帶來新挑戰(zhàn)。
用戶資料遭白菜價甩賣?
銀行:與真實數(shù)據(jù)不符
涉及國內(nèi)多家銀行的數(shù)百萬條客戶數(shù)據(jù)資料在暗網(wǎng)被標價兜售,連日來引發(fā)行業(yè)廣泛關(guān)注。4月15日,一位金融安全技術(shù)人士向證券時報記者證實在暗網(wǎng)確有看到該條盜賣信息。
從數(shù)據(jù)安全人士此前發(fā)布的相關(guān)截圖來看,被售賣信息里包含了大規(guī)模的金融機構(gòu)客戶數(shù)據(jù),其中涉及上海銀行80.3155萬條、浦發(fā)銀行(600000,股吧)10萬條、招商銀行(600036,股吧)上海分行6.3萬條、中國農(nóng)業(yè)銀行90萬條、興業(yè)銀行(601166,股吧)46萬條。泄露的資料既有儲蓄賬戶,也有信用卡賬戶及私行理財賬戶,含客戶姓名、客戶類型、性別、年齡、手機號碼、開戶賬號、住址郵編、存款數(shù)據(jù)等信息。
“46萬條銀行信用卡客戶數(shù)據(jù)標價不到100美元,90萬條數(shù)據(jù)標價只賣3999美元(折合人民幣約2.8萬元),簡直是‘白菜價’。如果是真實數(shù)據(jù),這么龐大的數(shù)據(jù)量實際售價至少10倍以上!币晃淮髷(shù)據(jù)行業(yè)風(fēng)控總監(jiān)向記者評價,盡管截圖顯示的樣例數(shù)據(jù)非常詳盡,但這么大的數(shù)據(jù)量價格卻低得離譜,盜賣數(shù)據(jù)是不是真的?可信度或許要打個問號。
為了核實上述情況,證券時報記者也第一時間聯(lián)系了涉事銀行,興業(yè)銀行、招商銀行、浦發(fā)銀行態(tài)度相對一致:經(jīng)過核查比對,與真實數(shù)據(jù)信息不符;不排除不法分子將不明來源數(shù)據(jù)冠以金融機構(gòu)名義兜售,以牟取非法利益。
上海銀行相關(guān)人士告訴記者,“進行了詳細比對,發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息,且與我行真實客戶信息的關(guān)鍵要素并不匹配?烧J定該販賣信息非我行泄露數(shù)據(jù),不排除系不法分子為牟取不當(dāng)利益?zhèn)卧、拼湊、出售所謂銀行的客戶信息!
113.5億銀行賬戶
誰在守護安全?
百萬條被兜售的數(shù)據(jù)資料包盡管真實性被駁,但龐大的金融數(shù)據(jù)尤其是銀行用戶涉敏信息的安全性如何保障?這已足夠引起行業(yè)及監(jiān)管的重視。
央行統(tǒng)計顯示,我國銀行賬戶數(shù)量穩(wěn)步增長,截至2019年末,全國共開立銀行賬戶113.52億戶、同比增長12.07%。其中,全國開立單位銀行賬戶6836.87萬戶、同比增長11.73%;個人銀行賬戶112.84億戶、同比增長12.07%;全國人均擁有銀行賬戶數(shù)達8.09戶。
“銀行業(yè)信息科技風(fēng)控要求較高,需要符合國內(nèi)外風(fēng)控管理要求,包括商業(yè)銀行信息科技風(fēng)險管理指引、巴薩爾協(xié)議、塞班斯法案等!彬v訊安全數(shù)據(jù)安全團隊負責(zé)人彭思翔告訴記者。
杭州某大型技術(shù)公司金融事業(yè)部總經(jīng)理曾負責(zé)過銀行物聯(lián)網(wǎng)解決方案,涉及數(shù)據(jù)服務(wù)采集業(yè)務(wù),他向記者舉例,“設(shè)備采集的信息一般會保存在當(dāng)?shù)劂y行機構(gòu),在信息保存、傳輸安全性方面,一方面銀行本身設(shè)有專網(wǎng),內(nèi)網(wǎng)、外網(wǎng)隔開,還有硬件設(shè)施方面的防火墻設(shè)置防護;另一方面,各家銀行內(nèi)部有各個層級對安全認證的嚴格復(fù)核管理。”
“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性!蹦彻煞菪酗L(fēng)險管理部門總監(jiān)向記者分析,“按銀保監(jiān)會的相關(guān)規(guī)定,銀行業(yè)IT系統(tǒng)基本分為生產(chǎn)域、測試域、互聯(lián)網(wǎng)域等,三個域之間的數(shù)據(jù)傳輸受到嚴格限制。只有在生產(chǎn)域才能看到數(shù)據(jù)的全貌,測試域只有用于測試的數(shù)據(jù),有數(shù)據(jù)量和脫敏的相關(guān)要求,互聯(lián)網(wǎng)域基本沒有客戶信息。從技術(shù)上、系統(tǒng)上看,大規(guī)模數(shù)據(jù)外泄講不通!
流量經(jīng)濟安全新挑戰(zhàn):
泄密在前端
從近期發(fā)布的國有六大行年報來看,其中有4家2019年科技投入總金額突破百億元,最高的建設(shè)銀行投入176.33億元。截至2019年末,工商銀行金融科技人員規(guī)模多達3.48萬名、全員占比高達7.82%,建設(shè)銀行、交通銀行、中國銀行、農(nóng)業(yè)銀行金融科技人員占比分別為2.75%、4.05%、2.58%、1.58%。
銀行加大科技投入、科技人員擴容規(guī)?涨。然而,銀行數(shù)據(jù)涉密各個環(huán)節(jié),盡管被最高等級的風(fēng)險防護,仍難有萬全之說。
首先是不同金融機構(gòu)之間、金融機構(gòu)內(nèi)部之間的安全能力有差異!按笾行偷慕鹑跈C構(gòu)風(fēng)險等級高,但是一些分支機構(gòu)風(fēng)險能力就較弱,可能賬戶密碼保護不嚴密。一些地下灰黑產(chǎn)業(yè),就會有組織、有目的性地去攻擊,抓住一些系統(tǒng)平臺存在的漏洞!敝芫龢E介紹。
“銀行的風(fēng)控水平并不是一碗水端平,”上述股份行智能風(fēng)控中心總監(jiān)直言,“有的銀行風(fēng)控水平高、有的銀行風(fēng)控水平低,實力強的銀行所有的模型都是行內(nèi)專業(yè)人員建模;但是部分地方如偏遠地區(qū)的銀行等,缺乏高端數(shù)據(jù)專業(yè)人才,只能通過外包方式去建模型。甚至部分不具備技術(shù)能力的銀行直接拿過來就用一些第三方公司流量數(shù)據(jù),這些數(shù)據(jù)包括身份認證三要素和部分行為特征,但是往往這類數(shù)據(jù)可能在使用前已經(jīng)可能被泄密了。”
“泄密環(huán)節(jié)出在前端”——在數(shù)位金融機構(gòu)風(fēng)控資深從業(yè)人士看來,這是伴隨著近幾年銀行線下業(yè)務(wù)線上化,在風(fēng)險防控上更應(yīng)該引起行業(yè)注意的一個新變化。
在彭思翔看來,銀行數(shù)據(jù)泄露可能發(fā)生的場景,除了信息科技運行領(lǐng)域訪問控制策略不當(dāng),開發(fā)、測試和維護領(lǐng)域三個環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏,以及信息安全領(lǐng)域系統(tǒng)漏洞之外,其中一個重要的方面就發(fā)生在“外包管理領(lǐng)域”,“特別是對外包研發(fā)、測試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫過度授權(quán),都會引起數(shù)據(jù)泄露!
“因為行業(yè)業(yè)務(wù)屬性不同,銀行的IT系統(tǒng)和互聯(lián)網(wǎng)公司之間,往往有代際差異!鼻笆龉煞菪兄悄茱L(fēng)控中心總監(jiān)向記者舉例,“比如面對一個互聯(lián)網(wǎng)流量平臺采用流量分發(fā)模型,100萬客戶分發(fā)給數(shù)十家不同的銀行,與之相應(yīng)的,銀行與之對接的是流量準入模型;很天然地,這兩個模型之間是對抗關(guān)系,準入模型希望準入更多,而分發(fā)模型希望篩掉更多。在現(xiàn)實情況中,相比互聯(lián)網(wǎng)公司,銀行IT系統(tǒng)靈活度、可使用工具、覆蓋的行為數(shù)據(jù)數(shù)等,都處于相對劣勢!
“今后銀行數(shù)據(jù)
風(fēng)控管理必將趨嚴”
“為促進金融行業(yè)健康發(fā)展與風(fēng)險控制,監(jiān)管層已經(jīng)通過發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評級掛鉤的方式,來提高銀行業(yè)對數(shù)據(jù)治理工作的重視,不管有沒有出現(xiàn)這次事件,銀行今后在數(shù)據(jù)風(fēng)控管理上必將是趨嚴的!睌(shù)位銀行業(yè)內(nèi)人士均認為,盡管這次盜賣數(shù)據(jù)真實性存疑,但它后續(xù)仍然會對業(yè)務(wù)層面產(chǎn)生影響。
2018年5月,銀保監(jiān)會發(fā)布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》,旨在引導(dǎo)銀行業(yè)金融機構(gòu)加強數(shù)據(jù)治理。去年12月,金融業(yè)移動金融APP備案首批試點開啟,首批23家試點備案名單中就有16家銀行,含5家國有大行、5家股份行、3家城商行、2家農(nóng)商行、1家農(nóng)信聯(lián)社,涉及提升安全防護、加強個人金融信息保護、提高風(fēng)險監(jiān)測能力、健全投訴處理機制、強化行業(yè)自律等五個方面,并劃定了涉及個人金融信息采集、使用、留存等方面四大紅線。
事實上,銀行數(shù)據(jù)管理趨嚴背后,是國家層面對個人信息數(shù)據(jù)管理工作的系統(tǒng)性出擊。去年下半年,工信部等數(shù)次公開點名批評百余款應(yīng)用軟件及其運營企業(yè),涉及未經(jīng)用戶同意超范圍及非必要使用個人信息等違規(guī)情形。
記者注意到,去年5月到8月,監(jiān)管部門密集出臺了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個人信息行為認定方法等多項征求意見稿及草案。這也和上述數(shù)位銀行業(yè)人士的判斷契合,當(dāng)前央行對銀行數(shù)據(jù)治理指引已經(jīng)非常詳盡,未來的變化更多出現(xiàn)在相關(guān)立法層面。
“在數(shù)據(jù)確權(quán)、數(shù)據(jù)治理上,中國有著絕對的優(yōu)勢,將是一個世界性的數(shù)據(jù)資產(chǎn)大國!本〇|數(shù)科數(shù)字技術(shù)中心數(shù)據(jù)資產(chǎn)部總經(jīng)理張旭認為,數(shù)據(jù)資產(chǎn)是銀行的核心資產(chǎn),是政府安保數(shù)據(jù)之外最值得信賴的數(shù)據(jù),今后數(shù)據(jù)向前發(fā)展必然面臨著確權(quán),以及海量數(shù)據(jù)(603138,股吧)在手之后如何通過人工智能等新技術(shù)做深度挖掘、開發(fā)應(yīng)用的問題。
蘇寧金融研究院院長助理薛洪言接受記者采訪時稱:“從大環(huán)境的導(dǎo)向來看,為業(yè)內(nèi)普遍認同的是,監(jiān)管層仍然鼓勵在合規(guī)前提下推動金融機構(gòu)數(shù)據(jù)高質(zhì)量發(fā)展,比如與各類政務(wù)數(shù)據(jù)互聯(lián)互通,建立跨區(qū)域的數(shù)據(jù)融合應(yīng)用等。”
【免責(zé)聲明】本文僅代表作者本人觀點,與和訊網(wǎng)無關(guān)。和訊網(wǎng)站對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。
最新評論