近日�,涉及國(guó)內(nèi)多家銀行的數(shù)百萬(wàn)條客戶數(shù)據(jù)資料在暗網(wǎng)被標(biāo)價(jià)兜售的消息廣為流傳。盡管涉事的各家銀行在進(jìn)行數(shù)據(jù)比對(duì)核查之后��,均否認(rèn)了被兜售數(shù)據(jù)資料包的真實(shí)性�,但是牽涉面甚廣的龐大金融數(shù)據(jù)���,尤其是銀行用戶涉敏信息的安全性如何保障,仍持續(xù)在行業(yè)引發(fā)關(guān)注��、研討�。
截至2019年底,我國(guó)開(kāi)立銀行賬戶113.52億戶�,全國(guó)人均擁有銀行賬戶數(shù)達(dá)8.09戶。這些賬戶安全誰(shuí)來(lái)守護(hù)���?尤其是���,伴隨銀行線下業(yè)務(wù)線上化、與流量方邊界日益拓寬等新變化�����,也給銀行數(shù)據(jù)安全管理帶來(lái)新挑戰(zhàn)�����。
用戶資料遭白菜價(jià)甩賣��?
銀行:與真實(shí)數(shù)據(jù)不符
涉及國(guó)內(nèi)多家銀行的數(shù)百萬(wàn)條客戶數(shù)據(jù)資料在暗網(wǎng)被標(biāo)價(jià)兜售����,連日來(lái)引發(fā)行業(yè)廣泛關(guān)注。4月15日�,一位金融安全技術(shù)人士向證券時(shí)報(bào)記者證實(shí)在暗網(wǎng)確有看到該條盜賣信息。
從數(shù)據(jù)安全人士此前發(fā)布的相關(guān)截圖來(lái)看�,被售賣信息里包含了大規(guī)模的金融機(jī)構(gòu)客戶數(shù)據(jù),其中涉及上海銀行80.3155萬(wàn)條�����、浦發(fā)銀行(600000,股吧)10萬(wàn)條��、招商銀行(600036,股吧)上海分行6.3萬(wàn)條�、中國(guó)農(nóng)業(yè)銀行90萬(wàn)條、興業(yè)銀行(601166,股吧)46萬(wàn)條��。泄露的資料既有儲(chǔ)蓄賬戶��,也有信用卡賬戶及私行理財(cái)賬戶��,含客戶姓名�、客戶類型、性別�、年齡、手機(jī)號(hào)碼�����、開(kāi)戶賬號(hào)、住址郵編�����、存款數(shù)據(jù)等信息�。
“46萬(wàn)條銀行信用卡客戶數(shù)據(jù)標(biāo)價(jià)不到100美元,90萬(wàn)條數(shù)據(jù)標(biāo)價(jià)只賣3999美元(折合人民幣約2.8萬(wàn)元)�,簡(jiǎn)直是‘白菜價(jià)’。如果是真實(shí)數(shù)據(jù)����,這么龐大的數(shù)據(jù)量實(shí)際售價(jià)至少10倍以上����!币晃淮髷(shù)據(jù)行業(yè)風(fēng)控總監(jiān)向記者評(píng)價(jià),盡管截圖顯示的樣例數(shù)據(jù)非常詳盡�����,但這么大的數(shù)據(jù)量?jī)r(jià)格卻低得離譜�����,盜賣數(shù)據(jù)是不是真的?可信度或許要打個(gè)問(wèn)號(hào)���。
為了核實(shí)上述情況,證券時(shí)報(bào)記者也第一時(shí)間聯(lián)系了涉事銀行�,興業(yè)銀行、招商銀行���、浦發(fā)銀行態(tài)度相對(duì)一致:經(jīng)過(guò)核查比對(duì)���,與真實(shí)數(shù)據(jù)信息不符;不排除不法分子將不明來(lái)源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售��,以牟取非法利益����。
上海銀行相關(guān)人士告訴記者,“進(jìn)行了詳細(xì)比對(duì)���,發(fā)現(xiàn)其所謂客戶信息中并無(wú)我行銀行賬戶信息����,且與我行真實(shí)客戶信息的關(guān)鍵要素并不匹配�������?烧J(rèn)定該販賣信息非我行泄露數(shù)據(jù),不排除系不法分子為牟取不當(dāng)利益?zhèn)卧����、拼湊、出售所謂銀行的客戶信息����。”
113.5億銀行賬戶
誰(shuí)在守護(hù)安全���?
百萬(wàn)條被兜售的數(shù)據(jù)資料包盡管真實(shí)性被駁��,但龐大的金融數(shù)據(jù)尤其是銀行用戶涉敏信息的安全性如何保障����?這已足夠引起行業(yè)及監(jiān)管的重視�����。
央行統(tǒng)計(jì)顯示,我國(guó)銀行賬戶數(shù)量穩(wěn)步增長(zhǎng)�,截至2019年末,全國(guó)共開(kāi)立銀行賬戶113.52億戶�����、同比增長(zhǎng)12.07%���。其中,全國(guó)開(kāi)立單位銀行賬戶6836.87萬(wàn)戶�����、同比增長(zhǎng)11.73%��;個(gè)人銀行賬戶112.84億戶����、同比增長(zhǎng)12.07%��;全國(guó)人均擁有銀行賬戶數(shù)達(dá)8.09戶����。
“銀行業(yè)信息科技風(fēng)控要求較高�����,需要符合國(guó)內(nèi)外風(fēng)控管理要求����,包括商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引�、巴薩爾協(xié)議����、塞班斯法案等���。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔告訴記者����。
杭州某大型技術(shù)公司金融事業(yè)部總經(jīng)理曾負(fù)責(zé)過(guò)銀行物聯(lián)網(wǎng)解決方案���,涉及數(shù)據(jù)服務(wù)采集業(yè)務(wù)���,他向記者舉例�����,“設(shè)備采集的信息一般會(huì)保存在當(dāng)?shù)劂y行機(jī)構(gòu)��,在信息保存�、傳輸安全性方面,一方面銀行本身設(shè)有專網(wǎng)�,內(nèi)網(wǎng)�、外網(wǎng)隔開(kāi),還有硬件設(shè)施方面的防火墻設(shè)置防護(hù)�����;另一方面�,各家銀行內(nèi)部有各個(gè)層級(jí)對(duì)安全認(rèn)證的嚴(yán)格復(fù)核管理���!
“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性�������!蹦彻煞菪酗L(fēng)險(xiǎn)管理部門(mén)總監(jiān)向記者分析,“按銀保監(jiān)會(huì)的相關(guān)規(guī)定��,銀行業(yè)IT系統(tǒng)基本分為生產(chǎn)域���、測(cè)試域、互聯(lián)網(wǎng)域等���,三個(gè)域之間的數(shù)據(jù)傳輸受到嚴(yán)格限制。只有在生產(chǎn)域才能看到數(shù)據(jù)的全貌�,測(cè)試域只有用于測(cè)試的數(shù)據(jù)�,有數(shù)據(jù)量和脫敏的相關(guān)要求���,互聯(lián)網(wǎng)域基本沒(méi)有客戶信息����。從技術(shù)上、系統(tǒng)上看����,大規(guī)模數(shù)據(jù)外泄講不通���!
流量經(jīng)濟(jì)安全新挑戰(zhàn):
泄密在前端
從近期發(fā)布的國(guó)有六大行年報(bào)來(lái)看��,其中有4家2019年科技投入總金額突破百億元,最高的建設(shè)銀行投入176.33億元。截至2019年末���,工商銀行金融科技人員規(guī)模多達(dá)3.48萬(wàn)名���、全員占比高達(dá)7.82%,建設(shè)銀行�����、交通銀行�、中國(guó)銀行��、農(nóng)業(yè)銀行金融科技人員占比分別為2.75%��、4.05%�����、2.58%��、1.58%���。
銀行加大科技投入、科技人員擴(kuò)容規(guī)���?涨�。然而�,銀行數(shù)據(jù)涉密各個(gè)環(huán)節(jié),盡管被最高等級(jí)的風(fēng)險(xiǎn)防護(hù)��,仍難有萬(wàn)全之說(shuō)。
首先是不同金融機(jī)構(gòu)之間���、金融機(jī)構(gòu)內(nèi)部之間的安全能力有差異���。“大中型的金融機(jī)構(gòu)風(fēng)險(xiǎn)等級(jí)高����,但是一些分支機(jī)構(gòu)風(fēng)險(xiǎn)能力就較弱����,可能賬戶密碼保護(hù)不嚴(yán)密。一些地下灰黑產(chǎn)業(yè)��,就會(huì)有組織�����、有目的性地去攻擊,抓住一些系統(tǒng)平臺(tái)存在的漏洞��������!敝芫龢E介紹�����。
“銀行的風(fēng)控水平并不是一碗水端平,”上述股份行智能風(fēng)控中心總監(jiān)直言�����,“有的銀行風(fēng)控水平高����、有的銀行風(fēng)控水平低����,實(shí)力強(qiáng)的銀行所有的模型都是行內(nèi)專業(yè)人員建模����;但是部分地方如偏遠(yuǎn)地區(qū)的銀行等���,缺乏高端數(shù)據(jù)專業(yè)人才,只能通過(guò)外包方式去建模型���。甚至部分不具備技術(shù)能力的銀行直接拿過(guò)來(lái)就用一些第三方公司流量數(shù)據(jù)�����,這些數(shù)據(jù)包括身份認(rèn)證三要素和部分行為特征��,但是往往這類數(shù)據(jù)可能在使用前已經(jīng)可能被泄密了�������!
“泄密環(huán)節(jié)出在前端”——在數(shù)位金融機(jī)構(gòu)風(fēng)控資深從業(yè)人士看來(lái)���,這是伴隨著近幾年銀行線下業(yè)務(wù)線上化,在風(fēng)險(xiǎn)防控上更應(yīng)該引起行業(yè)注意的一個(gè)新變化�����。
在彭思翔看來(lái)�,銀行數(shù)據(jù)泄露可能發(fā)生的場(chǎng)景,除了信息科技運(yùn)行領(lǐng)域訪問(wèn)控制策略不當(dāng)����,開(kāi)發(fā)、測(cè)試和維護(hù)領(lǐng)域三個(gè)環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏���,以及信息安全領(lǐng)域系統(tǒng)漏洞之外�����,其中一個(gè)重要的方面就發(fā)生在“外包管理領(lǐng)域”�����,“特別是對(duì)外包研發(fā)����、測(cè)試的管理不當(dāng)。生產(chǎn)環(huán)境暴露�、數(shù)據(jù)庫(kù)過(guò)度授權(quán)��,都會(huì)引起數(shù)據(jù)泄露�!
“因?yàn)樾袠I(yè)業(yè)務(wù)屬性不同���,銀行的IT系統(tǒng)和互聯(lián)網(wǎng)公司之間���,往往有代際差異�!鼻笆龉煞菪兄悄茱L(fēng)控中心總監(jiān)向記者舉例�,“比如面對(duì)一個(gè)互聯(lián)網(wǎng)流量平臺(tái)采用流量分發(fā)模型���,100萬(wàn)客戶分發(fā)給數(shù)十家不同的銀行��,與之相應(yīng)的�,銀行與之對(duì)接的是流量準(zhǔn)入模型�����;很天然地�����,這兩個(gè)模型之間是對(duì)抗關(guān)系,準(zhǔn)入模型希望準(zhǔn)入更多,而分發(fā)模型希望篩掉更多�����。在現(xiàn)實(shí)情況中����,相比互聯(lián)網(wǎng)公司�,銀行IT系統(tǒng)靈活度�、可使用工具、覆蓋的行為數(shù)據(jù)數(shù)等��,都處于相對(duì)劣勢(shì)��������!
“今后銀行數(shù)據(jù)
風(fēng)控管理必將趨嚴(yán)”
“為促進(jìn)金融行業(yè)健康發(fā)展與風(fēng)險(xiǎn)控制,監(jiān)管層已經(jīng)通過(guò)發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評(píng)級(jí)掛鉤的方式���,來(lái)提高銀行業(yè)對(duì)數(shù)據(jù)治理工作的重視,不管有沒(méi)有出現(xiàn)這次事件�,銀行今后在數(shù)據(jù)風(fēng)控管理上必將是趨嚴(yán)的�����!睌(shù)位銀行業(yè)內(nèi)人士均認(rèn)為�����,盡管這次盜賣數(shù)據(jù)真實(shí)性存疑,但它后續(xù)仍然會(huì)對(duì)業(yè)務(wù)層面產(chǎn)生影響�����。
2018年5月���,銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》���,旨在引導(dǎo)銀行業(yè)金融機(jī)構(gòu)加強(qiáng)數(shù)據(jù)治理。去年12月���,金融業(yè)移動(dòng)金融APP備案首批試點(diǎn)開(kāi)啟���,首批23家試點(diǎn)備案名單中就有16家銀行,含5家國(guó)有大行���、5家股份行�、3家城商行、2家農(nóng)商行����、1家農(nóng)信聯(lián)社,涉及提升安全防護(hù)����、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力����、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律等五個(gè)方面�,并劃定了涉及個(gè)人金融信息采集、使用��、留存等方面四大紅線�����。
事實(shí)上���,銀行數(shù)據(jù)管理趨嚴(yán)背后,是國(guó)家層面對(duì)個(gè)人信息數(shù)據(jù)管理工作的系統(tǒng)性出擊。去年下半年�����,工信部等數(shù)次公開(kāi)點(diǎn)名批評(píng)百余款應(yīng)用軟件及其運(yùn)營(yíng)企業(yè)����,涉及未經(jīng)用戶同意超范圍及非必要使用個(gè)人信息等違規(guī)情形。
記者注意到�����,去年5月到8月��,監(jiān)管部門(mén)密集出臺(tái)了關(guān)于數(shù)據(jù)安全管理辦法���、APP違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見(jiàn)稿及草案���。這也和上述數(shù)位銀行業(yè)人士的判斷契合,當(dāng)前央行對(duì)銀行數(shù)據(jù)治理指引已經(jīng)非常詳盡��,未來(lái)的變化更多出現(xiàn)在相關(guān)立法層面����。
“在數(shù)據(jù)確權(quán)�����、數(shù)據(jù)治理上���,中國(guó)有著絕對(duì)的優(yōu)勢(shì),將是一個(gè)世界性的數(shù)據(jù)資產(chǎn)大國(guó)����。”京東數(shù)科數(shù)字技術(shù)中心數(shù)據(jù)資產(chǎn)部總經(jīng)理張旭認(rèn)為���,數(shù)據(jù)資產(chǎn)是銀行的核心資產(chǎn)����,是政府安保數(shù)據(jù)之外最值得信賴的數(shù)據(jù)��,今后數(shù)據(jù)向前發(fā)展必然面臨著確權(quán)����,以及海量數(shù)據(jù)(603138,股吧)在手之后如何通過(guò)人工智能等新技術(shù)做深度挖掘、開(kāi)發(fā)應(yīng)用的問(wèn)題�。
蘇寧金融研究院院長(zhǎng)助理薛洪言接受記者采訪時(shí)稱:“從大環(huán)境的導(dǎo)向來(lái)看�,為業(yè)內(nèi)普遍認(rèn)同的是,監(jiān)管層仍然鼓勵(lì)在合規(guī)前提下推動(dòng)金融機(jī)構(gòu)數(shù)據(jù)高質(zhì)量發(fā)展,比如與各類政務(wù)數(shù)據(jù)互聯(lián)互通�����,建立跨區(qū)域的數(shù)據(jù)融合應(yīng)用等����������!
(責(zé)任編輯:李顯杰 )
最新評(píng)論