2020.4.20 中国经营报CHINABUSINESSJOURNALB4 编辑/朱紫云 美编/李琼 校对/陈丽 [email protected]银行
多家银行辟谣“信息泄露”数据安全重要性凸显本报记者 王柯瑾 郝亚娟
北京 上海报道
近日,一则多家银行客户数据
在境外黑客论坛售卖的网帖引起
广泛关注,多家银行牵涉其中。
《中国经营报》记者联系到涉
及银行,其中兴业银行、浦发银行、
上海银行均回应“与行内真实客户
信息要素不匹配”;农行方面则表
示不存在客户信息泄露问题。
“每年都有银行大规模泄露信
息的谣言。”一名银行从业者无奈
道。不过,谣言的背后也反映出公
众对个人信息数据,尤其是个人金
融信息数据保护的重视。
商业银行手握大量的数据,这
对银行的数据保护工作提出高度
要求。记者了解到,数据分类筛选
的重要性逐渐凸显,已有银行意识
到数据治理的重要性,在做好数据
防泄密的前提下,对行内前中后台
数据归类整理,有助于进一步挖掘
数据价值。
涉及银行纷纷辟谣
一则“疑似数家银行上百万条
用户数据正在被贩卖”的网帖引起
较大风波。该网帖显示,被售卖的
客户信息涉及农业银行、上海银
行、兴业银行、浦发银行等多家金
融机构;客户信息包括开户银行、
姓名、年龄、住址、电话号码、身份
证号等个人基本信息等。
消息一经传开,信息泄露是否
属实、个人账户安全是否受影响等
立即成为舆论关注的焦点。不过,
截至发稿日,网帖中涉及的多家金
融机构向记者做出回应。
其中,农行方面表示:“经认
真核查比对,我行不存在客户信
息泄露问题。我行已向监管部门
报告有关情况,并准备向公安机
关报案。”
兴业银行方面表示:“经过深
入核查比对,确认其中所谓的‘兴
业银行信用卡客户信息’与我行真
实的客户信息要素并不吻合,不排
除系不法分子伪造、售卖所谓银行
客户信息牟取不当利益。”
浦发银行方面表示:“经排查
比对,相关数据无我行账户信息,
且与我行客户信息要素不符。不
排除不法分子将不明来源数据冠
以金融机构名义兜售,以牟取非法
利益。”
上海银行方面表示:“我行对
所谓‘上海银行客户信息’进行了
详细比对,发现其所谓客户信息中
并无我行银行账户信息,且与我行
真实客户信息关键要素并不匹
配。可认定该贩卖信息非我行泄
露数据,不排除系不法分子为牟取
不当利益伪造、拼凑、出售所谓银
行的客户信息。”
同时,上述银行均表示,对于
伪冒其信息、损害其商誉的不法
行为,其保留追究其法律责任的
权利。
此外,上海银行方面在回复记
者时补充道:“我行部署多层次网
络安全纵深防御措施,能够及时发
现、遏制网络攻击行为;制定了包
括网络、数据、终端、互联网出口层
面严格的管控措施。对于涉及客
户信息的生产网络,实施封闭式管
理;对开发、测试环境数据实施脱
敏处理;对涉及敏感信息的业务系
统,实施下载自动加密的技术;禁
止USB口等外设的数据输出;通过
技防和人防手段加强员工行为监
测、管理。”
记者在采访中了解到,网传信
息之所以受到关注,在于内容确有
一定“可信”之处。比如,此前本报
记者花费较低费用确实可以买到
诸如姓名、住址等个人基本信息
(详见本报 2020 年 4 月 6 日报道
《暗网交易凶悍:信息失守正在拓
广金融“黑洞”》)。但有业内人士
认为,这也不排除是骗局的套路之
一,即花费较低价格买到部分正确
的基本信息,但涉及银行账户等专
业领域的信息则需要花费更高的
价格来购买,而买到的信息则不一
定是真实的。
“目前市场上倒卖的很多数据
都是不完整的,一些人花了大价钱
买的是假数据。”一位金融科技公
司人士推测,“不过每年都会有银
行客户信息泄露的消息传开,也可
能是安全厂商故意放消息为刺激
业务。”
个人信息安全受重视
虽然这一消息曝出后被涉及
银行迅速辟谣,但信息防泄密的重
要性再次被提上日程,而目前随着
金融业网络化程度不断提升,个人
信息安全仍面临一些挑战。
国家信息技术安全研究中心
总师组专家李京春在接受记者采
访时表示,目前挑战主要包括:数
据开放促进数据利用与数据安全
保障个人信息协同发展方面的挑
战;保障云计算、大数据、AI(人工
智能)、新一代移动通信等系统平
台安全方面存在新的挑战;智能手
机App治理方面也存在新问题和
挑战。“金融等行业的互联网WEB
网站系统(业务服务窗口)代码程
序存在命令注入、跨站脚本和信息
泄露等多种漏洞或脆弱性,如何发
现和修补这些漏洞、加强网站防护
是一贯的挑战。”李京春表示。
“信息系统最大的问题是程
序里存在BUG(编程人员逻辑错
误留下的漏洞),以及人为蓄意埋
下的后门漏洞,有的漏洞已经成
为网络武器。这些漏洞一旦被黑
客发现和利用就会泄露个人信息
和重要数据。金融等行业长期委
托专业安全企业和机构开展网站
安全检测和漏洞修补工作,和黑
客赛跑,争取在黑客发现之前率
先发现网站漏洞并进行修补等应
急处理,会大大提高网站的安全
性。但也存在黑客得手的时候。
可以说网站安全问题是一个老大
难的问题,需要老病新治,从病根
上解决问题。”李京春表示。
个人金融信息一旦泄露,会造
成多方麻烦。一位国有大行科技
部人士告诉记者:“一旦个人信息
泄露,对客户来讲容易引起盗刷风
险致其资金丢失,甚至影响个人征
信;对银行来讲,盗刷风险也会带
来投诉,甚至是纠纷,且应诉流程
繁杂,银行的信誉也会受损。”
该国有大行科技部人士向记
者分析:“信息泄露的原因一般分
为内外两种,外部来讲,一是黑客
利用银行内部系统漏洞获取信息;
另一个是黑客从其他网站盗取用
户密码,采用拖库的方式将盗取的
用户密码在银行网站上试用,从而
造成客户信息泄露。内部来讲,主
要为银行内部人员作案。”
记者检索裁判文书网了解
到,在过去不乏有银行员工出卖
客户信息的事件发生,不过随着
科技的发展和嵌入,“内鬼事件”
逐渐减少。前述金融科技公司人
士向记者分析:“银行员工泄露客
户数据的概率大大降低,因为客
户数据进入银行内部经过‘在传
输过程中加密,落地后脱敏’的处
理过程,有效保证了信息安全,也
就是说银行工作人员也无法从后
台看到完整的信息。”由于商业银
行在内部办公、第三方数据交换
以及测试系统开发过程中,存在
大量的数据交互,如果直接使用
未脱敏的数据,极有可能造成数
据泄露。某上市城商行信息科技
部负责人认为:“银行的数据安全
管理很严格,如果发生数据泄露
问题很可能出现在与第三方的业
务合作中。”
在大数据、多元场景搭建等
新业态下,银行等金融机构如何
有效保护个人金融信息?
李京春表示:“一是金融业要
进一步完善IT治理体系,重点部
位、重点岗位实行双人制管理,做好
重点人的教育、管理和监督,落实相
关法规制度,提高安全意识。二是
建立网络安全态势感知平台和应
急处理机制,完善网络安全防护体
系。提高威胁发现能力,提高查全
率和查准率,利用大数据和人工智
能技术快速溯源定位。金融业首
先要做到威胁情报数据的共享利
用,形成行业联防联动机制,最大程
度地保护客户个人信息安全。三
是创新安全防护技术,采用动态、拟
态、可信防护产品,改变网站防护的
被动局面。四是建立网络违法失
信人员黑名单,纳入金融网络安全
征信管理。违法黑客往往违法数
额不大,量刑定罪较轻,不好治理,
要进一步打击治理力度,完善治理
策略,形成威慑。五是提高App治
理水平,加强与有关部门和机构的
合作,依据国家标准,开展数据安全
能力成熟度评估,开展网络安全风
险评估,做好等级保护工作。”
此外,银行基于自身客户资
源,天然有着丰富的信息数据,全
盘保护所有的数据势必对银行的
数据保护工作提出较高要求。前
述金融科技公司人员告诉记者:
“银行已意识到数据治理的重要
性,一来通过重要性分类筛选关键
的重要信息;二来可挖掘数据价
值,银行的一手数据很有价值,之
前分散在前中后台并没有充分利
用起来,随着大数据在各项业务中
的应用加深,银行通过治理现有数
据建立自己的数据库尤为重要。”
金融业要进一步完善IT治理体系,重
点部位、重点岗位实行双人制管理,
提高安全意识;
建立网络安全态势感知平台和应急
处理机制,完善网络安全防护体系;
创新安全防护技术,采用动态、拟态、
可信防护产品,改变网站防护的被动
局面;
建立网络违法失信人员黑名单,纳入
金融网络安全征信管理;
加强与有关部门和机构的合作,依据
国家标准,开展数据安全能力成熟度
评估。
金融机构如何有效保护个人金融信息
1
2
4
3
5