近日�,一則多家銀行客戶數(shù)據(jù)在境外黑客論壇售賣的網(wǎng)帖引起廣泛關注��,多家銀行牽涉其中���。
《中國經(jīng)營報(博客,微博)》記者聯(lián)系到涉及銀行����,其中興業(yè)銀行(601166,股吧)��、浦發(fā)銀行(600000,股吧)�、上海銀行均回應“與行內真實客戶信息要素不匹配”�;農(nóng)行方面則表示不存在客戶信息泄露問題。
“每年都有銀行大規(guī)模泄露信息的謠言�����。”一名銀行從業(yè)者無奈道��。不過��,謠言的背后也反映出公眾對個人信息數(shù)據(jù)���,尤其是個人金融信息數(shù)據(jù)保護的重視����。
商業(yè)銀行手握大量的數(shù)據(jù)��,這對銀行的數(shù)據(jù)保護工作提出高度要求����。記者了解到,數(shù)據(jù)分類篩選的重要性逐漸凸顯�,已有銀行意識到數(shù)據(jù)治理的重要性,在做好數(shù)據(jù)防泄密的前提下�,對行內前中后臺數(shù)據(jù)歸類整理,有助于進一步挖掘數(shù)據(jù)價值����。
涉及銀行紛紛辟謠
一則“疑似數(shù)家銀行上百萬條用戶數(shù)據(jù)正在被販賣”的網(wǎng)帖引起較大風波。該網(wǎng)帖顯示�����,被售賣的客戶信息涉及農(nóng)業(yè)銀行、上海銀行����、興業(yè)銀行、浦發(fā)銀行等多家金融機構����;客戶信息包括開戶銀行、姓名����、年齡、住址��、電話號碼���、身份證號等個人基本信息等。
消息一經(jīng)傳開����,信息泄露是否屬實、個人賬戶安全是否受影響等立即成為輿論關注的焦點�。不過���,截至發(fā)稿日,網(wǎng)帖中涉及的多家金融機構向記者做出回應��。
其中�,農(nóng)行方面表示:“經(jīng)認真核查比對,我行不存在客戶信息泄露問題�。我行已向監(jiān)管部門報告有關情況,并準備向公安機關報案����!
興業(yè)銀行方面表示:“經(jīng)過深入核查比對����,確認其中所謂的‘興業(yè)銀行信用卡客戶信息’與我行真實的客戶信息要素并不吻合,不排除系不法分子偽造�����、售賣所謂銀行客戶信息牟取不當利益����。”
浦發(fā)銀行方面表示:“經(jīng)排查比對,相關數(shù)據(jù)無我行賬戶信息��,且與我行客戶信息要素不符����。不排除不法分子將不明來源數(shù)據(jù)冠以金融機構名義兜售,以牟取非法利益�。”
上海銀行方面表示:“我行對所謂‘上海銀行客戶信息’進行了詳細比對�,發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息,且與我行真實客戶信息關鍵要素并不匹配����。可認定該販賣信息非我行泄露數(shù)據(jù)����,不排除系不法分子為牟取不當利益?zhèn)卧臁⑵礈�、出售所謂銀行的客戶信息���!
同時���,上述銀行均表示,對于偽冒其信息�、損害其商譽的不法行為,其保留追究其法律責任的權利�。
此外,上海銀行方面在回復記者時補充道:“我行部署多層次網(wǎng)絡安全縱深防御措施����,能夠及時發(fā)現(xiàn)、遏制網(wǎng)絡攻擊行為���;制定了包括網(wǎng)絡�����、數(shù)據(jù)����、終端��、互聯(lián)網(wǎng)出口層面嚴格的管控措施���。對于涉及客戶信息的生產(chǎn)網(wǎng)絡���,實施封閉式管理�����;對開發(fā)�、測試環(huán)境數(shù)據(jù)實施脫敏處理��;對涉及敏感信息的業(yè)務系統(tǒng)�,實施下載自動加密的技術;禁止USB口等外設的數(shù)據(jù)輸出��;通過技防和人防手段加強員工行為監(jiān)測�����、管理�。”
記者在采訪中了解到����,網(wǎng)傳信息之所以受到關注,在于內容確有一定“可信”之處���。比如����,此前本報記者花費較低費用確實可以買到諸如姓名、住址等個人基本信息(詳見本報2020年4月6日報道《暗網(wǎng)交易兇悍:信息失守正在拓廣金融“黑洞”》)����。但有業(yè)內人士認為����,這也不排除是騙局的套路之一,即花費較低價格買到部分正確的基本信息�����,但涉及銀行賬戶等專業(yè)領域的信息則需要花費更高的價格來購買���,而買到的信息則不一定是真實的���。
“目前市場上倒賣的很多數(shù)據(jù)都是不完整的,一些人花了大價錢買的是假數(shù)據(jù)�������!币晃唤鹑诳萍脊救耸客茰y�,“不過每年都會有銀行客戶信息泄露的消息傳開�,也可能是安全廠商故意放消息為刺激業(yè)務������!
個人信息安全受重視
雖然這一消息曝出后被涉及銀行迅速辟謠,但信息防泄密的重要性再次被提上日程����,而目前隨著金融業(yè)網(wǎng)絡化程度不斷提升,個人信息安全仍面臨一些挑戰(zhàn)��。
國家信息技術安全研究中心總師組專家李京春在接受記者采訪時表示�����,目前挑戰(zhàn)主要包括:數(shù)據(jù)開放促進數(shù)據(jù)利用與數(shù)據(jù)安全保障個人信息協(xié)同發(fā)展方面的挑戰(zhàn)���;保障云計算����、大數(shù)據(jù)���、AI(人工智能)�、新一代移動通信等系統(tǒng)平臺安全方面存在新的挑戰(zhàn);智能手機App治理方面也存在新問題和挑戰(zhàn)����������!敖鹑诘刃袠I(yè)的互聯(lián)網(wǎng)WEB網(wǎng)站系統(tǒng)(業(yè)務服務窗口)代碼程序存在命令注入��、跨站腳本和信息泄露等多種漏洞或脆弱性�����,如何發(fā)現(xiàn)和修補這些漏洞�����、加強網(wǎng)站防護是一貫的挑戰(zhàn)���������!崩罹┐罕硎尽
“信息系統(tǒng)最大的問題是程序里存在BUG(編程人員邏輯錯誤留下的漏洞)�,以及人為蓄意埋下的后門漏洞,有的漏洞已經(jīng)成為網(wǎng)絡武器����。這些漏洞一旦被黑客發(fā)現(xiàn)和利用就會泄露個人信息和重要數(shù)據(jù)。金融等行業(yè)長期委托專業(yè)安全企業(yè)和機構開展網(wǎng)站安全檢測和漏洞修補工作��,和黑客賽跑�,爭取在黑客發(fā)現(xiàn)之前率先發(fā)現(xiàn)網(wǎng)站漏洞并進行修補等應急處理,會大大提高網(wǎng)站的安全性�����。但也存在黑客得手的時候����。可以說網(wǎng)站安全問題是一個老大難的問題����,需要老病新治,從病根上解決問題�����。”李京春表示����。
個人金融信息一旦泄露,會造成多方麻煩�����。一位國有大行科技部人士告訴記者:“一旦個人信息泄露���,對客戶來講容易引起盜刷風險致其資金丟失,甚至影響個人征信���;對銀行來講����,盜刷風險也會帶來投訴�����,甚至是糾紛�����,且應訴流程繁雜,銀行的信譽也會受損�。”
該國有大行科技部人士向記者分析:“信息泄露的原因一般分為內外兩種����,外部來講,一是黑客利用銀行內部系統(tǒng)漏洞獲取信息���;另一個是黑客從其他網(wǎng)站盜取用戶密碼����,采用拖庫的方式將盜取的用戶密碼在銀行網(wǎng)站上試用��,從而造成客戶信息泄露����。內部來講,主要為銀行內部人員作案����������!
記者檢索裁判文書網(wǎng)了解到,在過去不乏有銀行員工出賣客戶信息的事件發(fā)生���,不過隨著科技的發(fā)展和嵌入���,“內鬼事件”逐漸減少。前述金融科技公司人士向記者分析:“銀行員工泄露客戶數(shù)據(jù)的概率大大降低����,因為客戶數(shù)據(jù)進入銀行內部經(jīng)過‘在傳輸過程中加密,落地后脫敏’的處理過程����,有效保證了信息安全,也就是說銀行工作人員也無法從后臺看到完整的信息�������!庇捎谏虡I(yè)銀行在內部辦公�����、第三方數(shù)據(jù)交換以及測試系統(tǒng)開發(fā)過程中�����,存在大量的數(shù)據(jù)交互��,如果直接使用未脫敏的數(shù)據(jù)��,極有可能造成數(shù)據(jù)泄露��。某上市城商行信息科技部負責人認為:“銀行的數(shù)據(jù)安全管理很嚴格��,如果發(fā)生數(shù)據(jù)泄露問題很可能出現(xiàn)在與第三方的業(yè)務合作中�。”
在大數(shù)據(jù)���、多元場景搭建等新業(yè)態(tài)下�,銀行等金融機構如何有效保護個人金融信息�?
李京春表示:“一是金融業(yè)要進一步完善IT治理體系,重點部位���、重點崗位實行雙人制管理�����,做好重點人的教育���、管理和監(jiān)督�����,落實相關法規(guī)制度�����,提高安全意識�����。二是建立網(wǎng)絡安全態(tài)勢感知平臺和應急處理機制���,完善網(wǎng)絡安全防護體系。提高威脅發(fā)現(xiàn)能力�����,提高查全率和查準率�,利用大數(shù)據(jù)和人工智能技術快速溯源定位����。金融業(yè)首先要做到威脅情報數(shù)據(jù)的共享利用�����,形成行業(yè)聯(lián)防聯(lián)動機制�����,最大程度地保護客戶個人信息安全�。三是創(chuàng)新安全防護技術�,采用動態(tài)、擬態(tài)����、可信防護產(chǎn)品,改變網(wǎng)站防護的被動局面��。四是建立網(wǎng)絡違法失信人員黑名單��,納入金融網(wǎng)絡安全征信管理�����。違法黑客往往違法數(shù)額不大��,量刑定罪較輕,不好治理��,要進一步打擊治理力度�,完善治理策略,形成威懾�����。五是提高App治理水平��,加強與有關部門和機構的合作�,依據(jù)國家標準,開展數(shù)據(jù)安全能力成熟度評估����,開展網(wǎng)絡安全風險評估,做好等級保護工作����。”
此外���,銀行基于自身客戶資源�����,天然有著豐富的信息數(shù)據(jù)���,全盤保護所有的數(shù)據(jù)勢必對銀行的數(shù)據(jù)保護工作提出較高要求。前述金融科技公司人員告訴記者:“銀行已意識到數(shù)據(jù)治理的重要性���,一來通過重要性分類篩選關鍵的重要信息��;二來可挖掘數(shù)據(jù)價值�����,銀行的一手數(shù)據(jù)很有價值�����,之前分散在前中后臺并沒有充分利用起來��,隨著大數(shù)據(jù)在各項業(yè)務中的應用加深�,銀行通過治理現(xiàn)有數(shù)據(jù)建立自己的數(shù)據(jù)庫尤為重要����。”
(責任編輯:李悅 )
最新評論