“企业微信服务商私自使用数家银行600余万条会话存档数据,省联社大量客户信息和账户信息被窃取,因代理商失误,银行的金融交易受影响达68分钟......”
(资料图)
针对近期部分银行保险机构的外包服务商发生安全风险事件,2023年6月金融监管部门下发的《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》)称,银行保险机构应强化“服务外包、责任不外包”的主体意识,统筹管理科技风险,压实外包服务商安全责任。
具体来看,在企业微信服务风险情况通报中,监管部门称,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
“该事件的主要风险和问题:一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。开展数字生态合作时,银行保险机构外包风险主管部门、科技和数据管理部门未参与,缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。二是银行保险机构对合作中数据安全风险和责任识别划分不清,存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。”上述《通知》称。
在科技外包风险方面,监管部门通报了5个事件,其中包括:2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取;某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟等。
“对于该业务,监管一直都很严格,核心是要求银行加强对金融数据的加密、存储、传输、使用等全流程全生命周期管理。”某股份制银行总行人士表示。
一位华东地区农商行行长表示,当地省联社的科技能力较强,该省辖区内的银行一般不太与第三方合作。但上述《通知》对科技能力较弱的省联社以及不少城商行的外包服务有较大的影响。
这次排查和之前相比力度更大,也更有针对性。“本次更侧重业务合作中涉及内部重要数据和个人客户敏感信息留存于第三方的场景。监管担心银行在这类业务层面的合作可能没有从信息科技外包风险的角度管控到位,数据安全隐患识别不全面。”某城商行人士称。
监管部门进一步提出了以下要求:一是切实履行网络和数据安全保护义务。银行保险机构应加强风险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全风险检查,对发生安全生产事件的要按合同约定进行处罚。
二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。梳理外包服务商获取、留存的银行保险机构数据,排查个人信息和程序源代码、系统文档等内部技术资料,排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题,排查系统和外部产品的漏洞,整改问题隐患。
三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理,将涉及外包服务商的投诉纳入投诉管理办法,要求外包服务商第一时间报告自身的安全生产事件和投诉举报,报告其产品或服务发现的安全缺陷和漏洞等。
“各银行保险机构应对照上述问题,深入排查供应链风险隐患,切实加强整改。各级派出机构要督促辖内银行保险机构严格落实上述工作要求,严肃处置因管理不当引发的重大风险事件。涉及安全事件的机构,要制定风险整改方案和计划,各级派出机构要加强评估,严格督促,确保落实,不留问题死角。对整改不力的机构,要及时采取监管措施。”《通知》还称。