近日,涉及國內多家銀行的數(shù)百萬條客戶數(shù)據(jù)資料在暗網被標價兜售的消息廣為流傳�。盡管涉事的各家銀行在進行數(shù)據(jù)比對核查之后,均否認了被兜售數(shù)據(jù)資料包的真實性�����,但是牽涉面甚廣的龐大金融數(shù)據(jù)�����,尤其是銀行用戶涉敏信息的安全性如何保障�����,仍持續(xù)在行業(yè)引發(fā)關注�����、研討。
截至2019年底�����,我國開立銀行賬戶113.52億戶�,全國人均擁有銀行賬戶數(shù)達8.09戶。這些賬戶安全誰來守護�?尤其是,伴隨銀行線下業(yè)務線上化�、與流量方邊界日益拓寬等新變化,也給銀行數(shù)據(jù)安全管理帶來新挑戰(zhàn)�����。
用戶資料遭白菜價甩賣�����?
銀行:與真實數(shù)據(jù)不符
涉及國內多家銀行的數(shù)百萬條客戶數(shù)據(jù)資料在暗網被標價兜售�,連日來引發(fā)行業(yè)廣泛關注。4月15日�,一位金融安全技術人士向證券時報記者證實在暗網確有看到該條盜賣信息�����。
從數(shù)據(jù)安全人士此前發(fā)布的相關截圖來看,被售賣信息里包含了大規(guī)模的金融機構客戶數(shù)據(jù)�,其中涉及上海銀行80.3155萬條、浦發(fā)銀行(600000,股吧)10萬條�����、招商銀行(600036,股吧)上海分行6.3萬條�����、中國農業(yè)銀行90萬條�����、興業(yè)銀行(601166,股吧)46萬條�。泄露的資料既有儲蓄賬戶,也有信用卡賬戶及私行理財賬戶�,含客戶姓名、客戶類型�、性別、年齡�����、手機號碼、開戶賬號�����、住址郵編�����、存款數(shù)據(jù)等信息�����。
“46萬條銀行信用卡客戶數(shù)據(jù)標價不到100美元�����,90萬條數(shù)據(jù)標價只賣3999美元(折合人民幣約2.8萬元)�����,簡直是‘白菜價’�。如果是真實數(shù)據(jù),這么龐大的數(shù)據(jù)量實際售價至少10倍以上�。”一位大數(shù)據(jù)行業(yè)風控總監(jiān)向記者評價�,盡管截圖顯示的樣例數(shù)據(jù)非常詳盡�����,但這么大的數(shù)據(jù)量價格卻低得離譜,盜賣數(shù)據(jù)是不是真的�����?可信度或許要打個問號�����。
為了核實上述情況�����,證券時報記者也第一時間聯(lián)系了涉事銀行�,興業(yè)銀行、招商銀行�、浦發(fā)銀行態(tài)度相對一致:經過核查比對�,與真實數(shù)據(jù)信息不符;不排除不法分子將不明來源數(shù)據(jù)冠以金融機構名義兜售�����,以牟取非法利益��。
上海銀行相關人士告訴記者�,“進行了詳細比對�,發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息,且與我行真實客戶信息的關鍵要素并不匹配����?烧J定該販賣信息非我行泄露數(shù)據(jù)�,不排除系不法分子為牟取不當利益?zhèn)卧臁⑵礈��、出售所謂銀行的客戶信息�。”
113.5億銀行賬戶
誰在守護安全�?
百萬條被兜售的數(shù)據(jù)資料包盡管真實性被駁,但龐大的金融數(shù)據(jù)尤其是銀行用戶涉敏信息的安全性如何保障��?這已足夠引起行業(yè)及監(jiān)管的重視��。
央行統(tǒng)計顯示�,我國銀行賬戶數(shù)量穩(wěn)步增長,截至2019年末�,全國共開立銀行賬戶113.52億戶、同比增長12.07%�。其中��,全國開立單位銀行賬戶6836.87萬戶�、同比增長11.73%�;個人銀行賬戶112.84億戶、同比增長12.07%�;全國人均擁有銀行賬戶數(shù)達8.09戶�。
“銀行業(yè)信息科技風控要求較高,需要符合國內外風控管理要求�,包括商業(yè)銀行信息科技風險管理指引、巴薩爾協(xié)議�、塞班斯法案等�!彬v訊安全數(shù)據(jù)安全團隊負責人彭思翔告訴記者。
杭州某大型技術公司金融事業(yè)部總經理曾負責過銀行物聯(lián)網解決方案�,涉及數(shù)據(jù)服務采集業(yè)務,他向記者舉例�,“設備采集的信息一般會保存在當?shù)劂y行機構,在信息保存��、傳輸安全性方面�,一方面銀行本身設有專網,內網�、外網隔開,還有硬件設施方面的防火墻設置防護�;另一方面��,各家銀行內部有各個層級對安全認證的嚴格復核管理��!
“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性�!蹦彻煞菪酗L險管理部門總監(jiān)向記者分析,“按銀保監(jiān)會的相關規(guī)定�,銀行業(yè)IT系統(tǒng)基本分為生產域、測試域��、互聯(lián)網域等��,三個域之間的數(shù)據(jù)傳輸受到嚴格限制��。只有在生產域才能看到數(shù)據(jù)的全貌�,測試域只有用于測試的數(shù)據(jù),有數(shù)據(jù)量和脫敏的相關要求�,互聯(lián)網域基本沒有客戶信息。從技術上�、系統(tǒng)上看,大規(guī)模數(shù)據(jù)外泄講不通���!
流量經濟安全新挑戰(zhàn):
泄密在前端
從近期發(fā)布的國有六大行年報來看,其中有4家2019年科技投入總金額突破百億元��,最高的建設銀行投入176.33億元。截至2019年末�,工商銀行金融科技人員規(guī)模多達3.48萬名、全員占比高達7.82%�,建設銀行、交通銀行�、中國銀行、農業(yè)銀行金融科技人員占比分別為2.75%��、4.05%�、2.58%�、1.58%。
銀行加大科技投入�、科技人員擴容規(guī)模空前�。然而,銀行數(shù)據(jù)涉密各個環(huán)節(jié)�,盡管被最高等級的風險防護,仍難有萬全之說�。
首先是不同金融機構之間、金融機構內部之間的安全能力有差異�。“大中型的金融機構風險等級高�,但是一些分支機構風險能力就較弱,可能賬戶密碼保護不嚴密�。一些地下灰黑產業(yè)�,就會有組織��、有目的性地去攻擊�,抓住一些系統(tǒng)平臺存在的漏洞�!敝芫龢E介紹。
“銀行的風控水平并不是一碗水端平��,”上述股份行智能風控中心總監(jiān)直言�,“有的銀行風控水平高、有的銀行風控水平低�,實力強的銀行所有的模型都是行內專業(yè)人員建模;但是部分地方如偏遠地區(qū)的銀行等��,缺乏高端數(shù)據(jù)專業(yè)人才�,只能通過外包方式去建模型。甚至部分不具備技術能力的銀行直接拿過來就用一些第三方公司流量數(shù)據(jù)�,這些數(shù)據(jù)包括身份認證三要素和部分行為特征,但是往往這類數(shù)據(jù)可能在使用前已經可能被泄密了���!
“泄密環(huán)節(jié)出在前端”——在數(shù)位金融機構風控資深從業(yè)人士看來,這是伴隨著近幾年銀行線下業(yè)務線上化��,在風險防控上更應該引起行業(yè)注意的一個新變化。
在彭思翔看來��,銀行數(shù)據(jù)泄露可能發(fā)生的場景��,除了信息科技運行領域訪問控制策略不當�,開發(fā)、測試和維護領域三個環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏�,以及信息安全領域系統(tǒng)漏洞之外,其中一個重要的方面就發(fā)生在“外包管理領域”�,“特別是對外包研發(fā)、測試的管理不當�。生產環(huán)境暴露、數(shù)據(jù)庫過度授權�,都會引起數(shù)據(jù)泄露��!
“因為行業(yè)業(yè)務屬性不同��,銀行的IT系統(tǒng)和互聯(lián)網公司之間��,往往有代際差異���!鼻笆龉煞菪兄悄茱L控中心總監(jiān)向記者舉例��,“比如面對一個互聯(lián)網流量平臺采用流量分發(fā)模型,100萬客戶分發(fā)給數(shù)十家不同的銀行�,與之相應的,銀行與之對接的是流量準入模型�;很天然地,這兩個模型之間是對抗關系��,準入模型希望準入更多��,而分發(fā)模型希望篩掉更多��。在現(xiàn)實情況中��,相比互聯(lián)網公司��,銀行IT系統(tǒng)靈活度�、可使用工具、覆蓋的行為數(shù)據(jù)數(shù)等�,都處于相對劣勢�!
“今后銀行數(shù)據(jù)
風控管理必將趨嚴”
“為促進金融行業(yè)健康發(fā)展與風險控制,監(jiān)管層已經通過發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評級掛鉤的方式�,來提高銀行業(yè)對數(shù)據(jù)治理工作的重視,不管有沒有出現(xiàn)這次事件�,銀行今后在數(shù)據(jù)風控管理上必將是趨嚴的�!睌(shù)位銀行業(yè)內人士均認為,盡管這次盜賣數(shù)據(jù)真實性存疑,但它后續(xù)仍然會對業(yè)務層面產生影響�。
2018年5月,銀保監(jiān)會發(fā)布《銀行業(yè)金融機構數(shù)據(jù)治理指引》�,旨在引導銀行業(yè)金融機構加強數(shù)據(jù)治理。去年12月��,金融業(yè)移動金融APP備案首批試點開啟�,首批23家試點備案名單中就有16家銀行,含5家國有大行�、5家股份行、3家城商行��、2家農商行��、1家農信聯(lián)社��,涉及提升安全防護��、加強個人金融信息保護��、提高風險監(jiān)測能力�、健全投訴處理機制�、強化行業(yè)自律等五個方面,并劃定了涉及個人金融信息采集��、使用、留存等方面四大紅線��。
事實上�,銀行數(shù)據(jù)管理趨嚴背后,是國家層面對個人信息數(shù)據(jù)管理工作的系統(tǒng)性出擊�。去年下半年,工信部等數(shù)次公開點名批評百余款應用軟件及其運營企業(yè)��,涉及未經用戶同意超范圍及非必要使用個人信息等違規(guī)情形��。
記者注意到��,去年5月到8月��,監(jiān)管部門密集出臺了關于數(shù)據(jù)安全管理辦法��、APP違規(guī)收集使用個人信息行為認定方法等多項征求意見稿及草案�。這也和上述數(shù)位銀行業(yè)人士的判斷契合,當前央行對銀行數(shù)據(jù)治理指引已經非常詳盡��,未來的變化更多出現(xiàn)在相關立法層面��。
“在數(shù)據(jù)確權�、數(shù)據(jù)治理上,中國有著絕對的優(yōu)勢��,將是一個世界性的數(shù)據(jù)資產大國�!本〇|數(shù)科數(shù)字技術中心數(shù)據(jù)資產部總經理張旭認為,數(shù)據(jù)資產是銀行的核心資產�,是政府安保數(shù)據(jù)之外最值得信賴的數(shù)據(jù),今后數(shù)據(jù)向前發(fā)展必然面臨著確權��,以及海量數(shù)據(jù)(603138,股吧)在手之后如何通過人工智能等新技術做深度挖掘��、開發(fā)應用的問題��。
蘇寧金融研究院院長助理薛洪言接受記者采訪時稱:“從大環(huán)境的導向來看�,為業(yè)內普遍認同的是,監(jiān)管層仍然鼓勵在合規(guī)前提下推動金融機構數(shù)據(jù)高質量發(fā)展�,比如與各類政務數(shù)據(jù)互聯(lián)互通,建立跨區(qū)域的數(shù)據(jù)融合應用等�。”
(責任編輯:李顯杰 )
最新評論