Time: 2020-04-21  中国经营报

多家银行辟谣“信息泄露” 数据安全重要性凸显

  来源:中国经营报

  多家银行辟谣“信息泄露” 数据安全重要性凸显

  本报记者/王柯瑾/郝亚娟/北京/上海报道

  近日,一则多家银行客户数据在境外黑客论坛售卖的网帖引起广泛关注,多家银行牵涉其中。

  《中国经营报》记者联系到涉及银行,其中兴业银行、浦发银行、上海银行均回应“与行内真实客户信息要素不匹配”;农行方面则表示不存在客户信息泄露问题。

  “每年都有银行大规模泄露信息的谣言。”一名银行从业者无奈道。不过,谣言的背后也反映出公众对个人信息数据,尤其是个人金融信息数据保护的重视。

  商业银行手握大量的数据,这对银行的数据保护工作提出高度要求。记者了解到,数据分类筛选的重要性逐渐凸显,已有银行意识到数据治理的重要性,在做好数据防泄密的前提下,对行内前中后台数据归类整理,有助于进一步挖掘数据价值。

  涉及银行纷纷辟谣

  一则“疑似数家银行上百万条用户数据正在被贩卖”的网帖引起较大风波。该网帖显示,被售卖的客户信息涉及农业银行、上海银行、兴业银行、浦发银行等多家金融机构;客户信息包括开户银行、姓名、年龄、住址、电话号码、身份证号等个人基本信息等。

  消息一经传开,信息泄露是否属实、个人账户安全是否受影响等立即成为舆论关注的焦点。不过,截至发稿日,网帖中涉及的多家金融机构向记者做出回应。

  其中,农行方面表示:“经认真核查比对,我行不存在客户信息泄露问题。我行已向监管部门报告有关情况,并准备向公安机关报案。”

  兴业银行方面表示:“经过深入核查比对,确认其中所谓的‘兴业银行信用卡客户信息’与我行真实的客户信息要素并不吻合,不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益。”

  浦发银行方面表示:“经排查比对,相关数据无我行账户信息,且与我行客户信息要素不符。不排除不法分子将不明来源数据冠以金融机构名义兜售,以牟取非法利益。”

  上海银行方面表示:“我行对所谓‘上海银行客户信息’进行了详细比对,发现其所谓客户信息中并无我行银行账户信息,且与我行真实客户信息关键要素并不匹配。可认定该贩卖信息非我行泄露数据,不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。”

  同时,上述银行均表示,对于伪冒其信息、损害其商誉的不法行为,其保留追究其法律责任的权利。

  此外,上海银行方面在回复记者时补充道:“我行部署多层次网络安全纵深防御措施,能够及时发现、遏制网络攻击行为;制定了包括网络、数据、终端、互联网出口层面严格的管控措施。对于涉及客户信息的生产网络,实施封闭式管理;对开发、测试环境数据实施脱敏处理;对涉及敏感信息的业务系统,实施下载自动加密的技术;禁止USB口等外设的数据输出;通过技防和人防手段加强员工行为监测、管理。”

  记者在采访中了解到,网传信息之所以受到关注,在于内容确有一定“可信”之处。比如,此前本报记者花费较低费用确实可以买到诸如姓名、住址等个人基本信息(详见本报2020年4月6日报道《暗网交易凶悍:信息失守正在拓广金融“黑洞”》)。但有业内人士认为,这也不排除是骗局的套路之一,即花费较低价格买到部分正确的基本信息,但涉及银行账户等专业领域的信息则需要花费更高的价格来购买,而买到的信息则不一定是真实的。

  “目前市场上倒卖的很多数据都是不完整的,一些人花了大价钱买的是假数据。”一位金融科技公司人士推测,“不过每年都会有银行客户信息泄露的消息传开,也可能是安全厂商故意放消息为刺激业务。”

  个人信息安全受重视

  虽然这一消息曝出后被涉及银行迅速辟谣,但信息防泄密的重要性再次被提上日程,而目前随着金融业网络化程度不断提升,个人信息安全仍面临一些挑战。

  国家信息技术安全研究中心总师组专家李京春在接受记者采访时表示,目前挑战主要包括:数据开放促进数据利用与数据安全保障个人信息协同发展方面的挑战;保障云计算、大数据、AI(人工智能)、新一代移动通信等系统平台安全方面存在新的挑战;智能手机App治理方面也存在新问题和挑战。“金融等行业的互联网WEB网站系统(业务服务窗口)代码程序存在命令注入、跨站脚本和信息泄露等多种漏洞或脆弱性,如何发现和修补这些漏洞、加强网站防护是一贯的挑战。”李京春表示。

  “信息系统最大的问题是程序里存在BUG(编程人员逻辑错误留下的漏洞),以及人为蓄意埋下的后门漏洞,有的漏洞已经成为网络武器。这些漏洞一旦被黑客发现和利用就会泄露个人信息和重要数据。金融等行业长期委托专业安全企业和机构开展网站安全检测和漏洞修补工作,和黑客赛跑,争取在黑客发现之前率先发现网站漏洞并进行修补等应急处理,会大大提高网站的安全性。但也存在黑客得手的时候。可以说网站安全问题是一个老大难的问题,需要老病新治,从病根上解决问题。”李京春表示。

  个人金融信息一旦泄露,会造成多方麻烦。一位国有大行科技部人士告诉记者:“一旦个人信息泄露,对客户来讲容易引起盗刷风险致其资金丢失,甚至影响个人征信;对银行来讲,盗刷风险也会带来投诉,甚至是纠纷,且应诉流程繁杂,银行的信誉也会受损。”

  该国有大行科技部人士向记者分析:“信息泄露的原因一般分为内外两种,外部来讲,一是黑客利用银行内部系统漏洞获取信息;另一个是黑客从其他网站盗取用户密码,采用拖库的方式将盗取的用户密码在银行网站上试用,从而造成客户信息泄露。内部来讲,主要为银行内部人员作案。”

  记者检索裁判文书网了解到,在过去不乏有银行员工出卖客户信息的事件发生,不过随着科技的发展和嵌入,“内鬼事件”逐渐减少。前述金融科技公司人士向记者分析:“银行员工泄露客户数据的概率大大降低,因为客户数据进入银行内部经过‘在传输过程中加密,落地后脱敏’的处理过程,有效保证了信息安全,也就是说银行工作人员也无法从后台看到完整的信息。”由于商业银行在内部办公、第三方数据交换以及测试系统开发过程中,存在大量的数据交互,如果直接使用未脱敏的数据,极有可能造成数据泄露。某上市城商行信息科技部负责人认为:“银行的数据安全管理很严格,如果发生数据泄露问题很可能出现在与第三方的业务合作中。”

  在大数据、多元场景搭建等新业态下,银行等金融机构如何有效保护个人金融信息?

  李京春表示:“一是金融业要进一步完善IT治理体系,重点部位、重点岗位实行双人制管理,做好重点人的教育、管理和监督,落实相关法规制度,提高安全意识。二是建立网络安全态势感知平台和应急处理机制,完善网络安全防护体系。提高威胁发现能力,提高查全率和查准率,利用大数据和人工智能技术快速溯源定位。金融业首先要做到威胁情报数据的共享利用,形成行业联防联动机制,最大程度地保护客户个人信息安全。三是创新安全防护技术,采用动态、拟态、可信防护产品,改变网站防护的被动局面。四是建立网络违法失信人员黑名单,纳入金融网络安全征信管理。违法黑客往往违法数额不大,量刑定罪较轻,不好治理,要进一步打击治理力度,完善治理策略,形成威慑。五是提高App治理水平,加强与有关部门和机构的合作,依据国家标准,开展数据安全能力成熟度评估,开展网络安全风险评估,做好等级保护工作。”

  此外,银行基于自身客户资源,天然有着丰富的信息数据,全盘保护所有的数据势必对银行的数据保护工作提出较高要求。前述金融科技公司人员告诉记者:“银行已意识到数据治理的重要性,一来通过重要性分类筛选关键的重要信息;二来可挖掘数据价值,银行的一手数据很有价值,之前分散在前中后台并没有充分利用起来,随着大数据在各项业务中的应用加深,银行通过治理现有数据建立自己的数据库尤为重要。”

标签: 数据安全
18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。