午夜视频在线观看你懂的-国产对白videos高潮内射-成人国产一区二区三区av-亚洲欧美中文日本在线视频

前端教程
當(dāng)前位置: 主頁(yè) > 資訊 > 前端教程
金融監(jiān)管總局曝光“科技外包”數(shù)據(jù)風(fēng)險(xiǎn)!銀行保險(xiǎn)自查進(jìn)行時(shí)!
發(fā)布日期:2023-07-20 閱讀次數(shù):

  近年來(lái),隨著“數(shù)字中國(guó)”戰(zhàn)略的深入實(shí)施,銀保、保險(xiǎn)機(jī)構(gòu)大力推行數(shù)字化轉(zhuǎn)型。然而,在行業(yè)主體加大科技、數(shù)字化投入的同時(shí),部分機(jī)構(gòu)對(duì)信息科技外包服務(wù)商、第三方生態(tài)合作者的依賴(lài)度不斷加大,并由于風(fēng)險(xiǎn)管控不嚴(yán),導(dǎo)致網(wǎng)絡(luò)、數(shù)據(jù)等信息安全風(fēng)險(xiǎn)事件頻繁上演。

  日前,國(guó)家金融監(jiān)督管理總局(以下簡(jiǎn)稱(chēng)“國(guó)家金融監(jiān)管總局”)最新發(fā)布的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》就深入揭露了這一問(wèn)題。從『A智慧?!猾@取的《通知》內(nèi)容來(lái)看,監(jiān)管透露,近期部分銀行保險(xiǎn)機(jī)構(gòu)的外包服務(wù)商發(fā)生了多起安全風(fēng)險(xiǎn)事件,對(duì)銀行保險(xiǎn)機(jī)構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性造成了一定的影響,暴露出行業(yè)機(jī)構(gòu)在外包管理服務(wù)上存在突出的風(fēng)險(xiǎn)問(wèn)題。

  從風(fēng)險(xiǎn)類(lèi)型來(lái)看,《通知》重點(diǎn)提及了企業(yè)微信服務(wù)風(fēng)險(xiǎn)和科技外包風(fēng)險(xiǎn)的相關(guān)情況及重點(diǎn)問(wèn)題,并給出了具體細(xì)化的監(jiān)管要求。與此同時(shí),文件強(qiáng)調(diào)銀行保險(xiǎn)機(jī)構(gòu)應(yīng)針對(duì)這些問(wèn)題,深入排查風(fēng)險(xiǎn)隱患,切實(shí)加強(qiáng)整改。特別是涉及通報(bào)安全事件的有關(guān)機(jī)構(gòu),要制定相應(yīng)的整改計(jì)劃與方案,對(duì)于整改不力者,將采取監(jiān)管措施。

  這也意味著,隨著《通知》的下發(fā),銀行、保險(xiǎn)機(jī)構(gòu)將按照監(jiān)管指示,在科技外包服務(wù)、技術(shù)合作等方面展開(kāi)一輪詳細(xì)的風(fēng)險(xiǎn)自查,而存在明顯問(wèn)題的機(jī)構(gòu)更是要進(jìn)行不留死角的整改。那么,此次《通知》究竟涉及了哪些風(fēng)險(xiǎn)事件與問(wèn)題,銀行保險(xiǎn)機(jī)構(gòu)在數(shù)字化轉(zhuǎn)型過(guò)程中,又該如何強(qiáng)化風(fēng)控、壓實(shí)責(zé)任?

  某微信代理商為多家銀行提供了企業(yè)微信方面的相關(guān)服務(wù),將銀行客戶(hù)經(jīng)理與客戶(hù)的聊天會(huì)話(huà),存檔在該服務(wù)商租用的公有云服務(wù)器上,會(huì)話(huà)存檔數(shù)據(jù)包括部分客戶(hù)姓名、手機(jī)號(hào)、身份證號(hào)、銀行賬號(hào)等敏感個(gè)人信息。

  然而,未經(jīng)銀行的同意,該服務(wù)商私自使用了數(shù)家銀行600余萬(wàn)條會(huì)話(huà)存檔數(shù)據(jù),用于該公司模型訓(xùn)練,并將其提供給關(guān)聯(lián)公司。據(jù)了解,在這一事件中,由于銀行未盡到對(duì)客戶(hù)敏感數(shù)據(jù)保護(hù)的責(zé)任,引發(fā)了消費(fèi)者的維權(quán)投訴。

  類(lèi)似的案例,或許在銀行日常的數(shù)字化客戶(hù)服務(wù)中并不鮮見(jiàn),但潛在的風(fēng)險(xiǎn)隱患卻不容忽視。由此,針對(duì)這一典型事件,監(jiān)管重點(diǎn)揭示了兩方面的風(fēng)險(xiǎn)問(wèn)題。

  其一是銀行保險(xiǎn)機(jī)構(gòu)對(duì)數(shù)字生態(tài)場(chǎng)景的合作情況底數(shù)不清,缺乏統(tǒng)籌管理。在開(kāi)展數(shù)字生態(tài)合作時(shí),銀行保險(xiǎn)機(jī)構(gòu)外包風(fēng)險(xiǎn)主管部門(mén)、數(shù)據(jù)和科技管理部門(mén)未參與其中,且缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)控管理等機(jī)制,存在突出風(fēng)險(xiǎn)隱患。

  其二是銀行保險(xiǎn)機(jī)構(gòu)對(duì)合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)和責(zé)任識(shí)別劃分不清。數(shù)字化轉(zhuǎn)型合作業(yè)務(wù)場(chǎng)景連接,技術(shù)渠道相互嵌入,數(shù)據(jù)交互、存儲(chǔ)情況較為復(fù)雜,銀行保險(xiǎn)機(jī)構(gòu)對(duì)技術(shù)、業(yè)務(wù)數(shù)據(jù)等方面的風(fēng)險(xiǎn)識(shí)別不清晰,責(zé)任劃分不明確,存在數(shù)據(jù)收集使用不合規(guī)、數(shù)據(jù)保護(hù)存在盲區(qū)、安全責(zé)任交叉等問(wèn)題。

  可見(jiàn),對(duì)于銀行保險(xiǎn)機(jī)構(gòu)的數(shù)字生態(tài)合作業(yè)務(wù),相關(guān)技術(shù)主管部門(mén)普遍存在監(jiān)督缺失等問(wèn)題,并且對(duì)于第三方合作中存在的數(shù)據(jù)安全風(fēng)險(xiǎn),銀行保險(xiǎn)機(jī)構(gòu)也不夠重視,易淪為“甩手掌柜”的角色。

  相較企業(yè)微信服務(wù)風(fēng)險(xiǎn),銀行保險(xiǎn)機(jī)構(gòu)在科技外包風(fēng)險(xiǎn)方面暴露出的問(wèn)題更加嚴(yán)重,這從《通知》一口氣列舉了五個(gè)重點(diǎn)案例即可看出。具體來(lái)看:

  案例一:2022年8月,4家省聯(lián)社托管在某服務(wù)商的網(wǎng)銀系統(tǒng),因存在越權(quán)訪(fǎng)問(wèn)漏洞,被不法分子攻破,大量客戶(hù)信息與賬戶(hù)信息被竊取。

  案例二:某軟件開(kāi)發(fā)公司負(fù)責(zé)程序投產(chǎn)包發(fā)布的員工,因私自使用國(guó)外郵件代理工具而被黑客盜取了工作郵箱的密碼。2022年5月,黑客登錄郵箱并下載了部分郵件內(nèi)容,在向公司勒索未果后,7月又將數(shù)據(jù)在海外網(wǎng)站售賣(mài),涉及到34家銀行業(yè)金融機(jī)構(gòu)2個(gè)信息系統(tǒng)的部分設(shè)計(jì)文檔、程序源代碼和數(shù)據(jù)庫(kù)配置文件等技術(shù)敏感信息。

  案例三:某數(shù)據(jù)中心托管服務(wù)商的客戶(hù)服務(wù)系統(tǒng)存在SQI注入與文件上傳漏洞。2021年9月,黑客入侵該系統(tǒng)并竊取了數(shù)據(jù)庫(kù)中的信息,2023年1月在海外網(wǎng)站售賣(mài),其中包括70余家銀行保險(xiǎn)機(jī)構(gòu)的數(shù)百條相關(guān)員工的個(gè)人信息。

  案例四:某壽險(xiǎn)公司采購(gòu)部署的第三方軟件產(chǎn)品“保融第三方簽約平臺(tái)”,在網(wǎng)絡(luò)攻防演習(xí)時(shí)被發(fā)現(xiàn),其前端管理頁(yè)面的JS文件中明文寫(xiě)有管理員賬號(hào)與密碼,攻擊者能夠利用該賬號(hào)繞過(guò)前端驗(yàn)證直接登錄系統(tǒng),并查詢(xún)包含個(gè)人敏感信息在內(nèi)的所有相關(guān)數(shù)據(jù),存在敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

  案例五:2023年2月,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導(dǎo)致某家銀行互聯(lián)網(wǎng)域名解析失敗,在業(yè)務(wù)高峰期影響金融交易長(zhǎng)達(dá)68分鐘。

  從上述五例科技外包風(fēng)險(xiǎn)事件來(lái)看,盡管其所涉及的相關(guān)風(fēng)險(xiǎn)內(nèi)容、影響后果不一,但暴露出的風(fēng)控問(wèn)題卻不盡相同。為此,監(jiān)管也總結(jié)了三方面的典型“癥狀”。

  首先是銀行保險(xiǎn)機(jī)構(gòu)在供應(yīng)鏈安全管理上履職不到位。這主要表現(xiàn)在,銀行保險(xiǎn)機(jī)構(gòu)對(duì)外包服務(wù)商的準(zhǔn)入控制不嚴(yán)格;監(jiān)督檢查工作不夠,對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全和系統(tǒng)運(yùn)行風(fēng)險(xiǎn)不掌握;合作結(jié)束后未及時(shí)進(jìn)行清理、刪除數(shù)據(jù);部分重要業(yè)務(wù)依賴(lài)單一的外包服務(wù)商,缺乏冗余措施等。

  其次是銀行保險(xiǎn)機(jī)構(gòu)對(duì)外包服務(wù)的應(yīng)急管理機(jī)制不健全?!锻ㄖ分赋?,由于銀行保險(xiǎn)機(jī)構(gòu)未建立相關(guān)的外包安全事件應(yīng)急處置、客戶(hù)投訴處理制度,導(dǎo)致事件處置措施不力、不及時(shí);部分外包服務(wù)商發(fā)生安全事件后,也未及時(shí)向銀行保險(xiǎn)機(jī)構(gòu)報(bào)告,且后者也未向監(jiān)管部門(mén)作出報(bào)告。

  再次,外包服務(wù)商的安全管理與技術(shù)防護(hù)能力存在嚴(yán)重不足。典型的現(xiàn)象如,銀行保險(xiǎn)機(jī)構(gòu)未對(duì)外包服務(wù)商進(jìn)行網(wǎng)絡(luò)與數(shù)據(jù)安全相關(guān)政策的傳導(dǎo),以致外包服務(wù)商普遍存在“重交付、輕安全”的問(wèn)題,安全漏洞隱患較多。

  如上來(lái)看,監(jiān)管直指銀行保險(xiǎn)機(jī)構(gòu)在科技外包業(yè)務(wù)中面臨的風(fēng)險(xiǎn)與問(wèn)題要害,從監(jiān)督履職、制度建設(shè)、政策傳導(dǎo)等多方面,幫助行業(yè)主體建立風(fēng)控意識(shí)。

  面對(duì)企業(yè)微信服務(wù)、科技外包業(yè)務(wù)等方面暴露出的風(fēng)險(xiǎn)事件與風(fēng)控問(wèn)題,此次《通知》也給出了針對(duì)性、細(xì)化的監(jiān)管要求,對(duì)于行業(yè)主體,特別是涉事機(jī)構(gòu)而言或?qū)⒚媾R一次不小的整改與規(guī)范。

  在企業(yè)微信服務(wù)風(fēng)險(xiǎn)方面,《通知》明確,針對(duì)上述問(wèn)題,銀行保險(xiǎn)機(jī)構(gòu)要全面開(kāi)展一次自查,摸清數(shù)字生態(tài)場(chǎng)景合作中的網(wǎng)絡(luò)與數(shù)據(jù)安全風(fēng)險(xiǎn)底數(shù),開(kāi)展排查整改;在合同協(xié)議中強(qiáng)化對(duì)數(shù)據(jù)安全的要求,對(duì)于存在違規(guī)行為或違反合同約定的,要追究有關(guān)外包合作單位的責(zé)任,在問(wèn)題整改完成前,不得擴(kuò)大合作范圍內(nèi)容。

  除自查整改外,銀行保險(xiǎn)機(jī)構(gòu)還需加強(qiáng)科技風(fēng)險(xiǎn)統(tǒng)籌管理。比如要將數(shù)字生態(tài)合作納入到外包風(fēng)險(xiǎn)管理范圍,科技和數(shù)據(jù)管理部門(mén)應(yīng)加強(qiáng)外包合作的網(wǎng)絡(luò)與數(shù)據(jù)安全管理,加強(qiáng)風(fēng)險(xiǎn)評(píng)估與事件處置;此外,還需加強(qiáng)非駐場(chǎng)外包風(fēng)險(xiǎn)監(jiān)測(cè)和監(jiān)管報(bào)告。對(duì)于集中處理客戶(hù)個(gè)人敏感信息和重要數(shù)據(jù)的非駐場(chǎng)外包,以及涉敏感級(jí)及以上數(shù)據(jù)的委托處理的外包合作,應(yīng)重點(diǎn)關(guān)注、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)等。

  值得一提的是,《通知》特別給出了自查、整改“時(shí)間表”,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)按監(jiān)管隸屬關(guān)系,于7月10日前將風(fēng)險(xiǎn)自查和整改情況、企業(yè)微信合作情況表向國(guó)家金融監(jiān)管總局或銀保監(jiān)局 (分局) 報(bào)告。銀保監(jiān)局匯總后,于7月20日前報(bào)送國(guó)家金融監(jiān)管總局。

  另外,針對(duì)科技外包服務(wù)暴露出的風(fēng)險(xiǎn)問(wèn)題,《通知》則給出三點(diǎn)具體要求,分別是切實(shí)履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)、采取針對(duì)性安全保護(hù)措施和建立健全應(yīng)急處理機(jī)制。文件強(qiáng)調(diào),銀行保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí),切實(shí)承擔(dān)數(shù)據(jù)安全的主體責(zé)任,統(tǒng)籌管理科技風(fēng)險(xiǎn),壓實(shí)外包服務(wù)商的安全責(zé)任,提升整體防控水平。

  需要引起注意的是,《通知》提及的一系列監(jiān)管要求,對(duì)于銀行保險(xiǎn)機(jī)構(gòu)而言不可輕視,否則或?qū)⒚媾R較為嚴(yán)格的監(jiān)管措施。譬如,《通知》明確,各銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)照上述問(wèn)題,深入排查供應(yīng)鏈風(fēng)險(xiǎn)隱患,并要求各級(jí)派出機(jī)構(gòu)督促轄內(nèi)銀行保險(xiǎn)機(jī)構(gòu)嚴(yán)格落實(shí),嚴(yán)肅處置因管理不當(dāng)引發(fā)的重大風(fēng)險(xiǎn)事件。

  此外,涉及《通知》通報(bào)安全事件有關(guān)的銀行保險(xiǎn)機(jī)構(gòu),要制定風(fēng)險(xiǎn)整改方案和計(jì)劃,并向監(jiān)管進(jìn)行報(bào)告。各級(jí)派出機(jī)構(gòu)也要加強(qiáng)評(píng)估,不留問(wèn)題死角。對(duì)整改不力的機(jī)構(gòu),要及時(shí)采取監(jiān)管措施。

  由此不難感受到,監(jiān)管正著力引導(dǎo)銀行保險(xiǎn)機(jī)構(gòu)加強(qiáng)第三方合作中涉及的網(wǎng)絡(luò)與數(shù)據(jù)安全風(fēng)險(xiǎn)防范工作,強(qiáng)化供應(yīng)鏈安全管理,以保障在銀行業(yè)、保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中,實(shí)現(xiàn)安全穩(wěn)健運(yùn)行。