本報記者 王柯瑾 郝亞娟 北京、上海報道
近日,一則多家銀行客戶數據在境外黑客論壇售賣的網帖引起廣泛關注,多家銀行牽涉其中。
《中國經營報》記者聯繫到涉及銀行,其中興業銀行、浦發銀行、上海銀行均回應“與行內真實客戶信息要素不匹配”;農行方面則表示不存在客戶信息洩露問題。
“每年都有銀行大規模洩露信息的謠言。”一名銀行從業者無奈道。不過,謠言的背後也反映出公眾對個人信息數據,尤其是個人金融信息數據保護的重視。
商業銀行手握大量的數據,這對銀行的數據保護工作提出高度要求。記者瞭解到,數據分類篩選的重要性逐漸凸顯,已有銀行意識到數據治理的重要性,在做好數據防洩密的前提下,對行內前中後臺數據歸類整理,有助於進一步挖掘數據價值。
涉及銀行紛紛闢謠
一則“疑似數家銀行上百萬條用戶數據正在被販賣”的網帖引起較大風波。該網帖顯示,被售賣的客戶信息涉及農業銀行、上海銀行、興業銀行、浦發銀行等多家金融機構;客戶信息包括開戶銀行、姓名、年齡、住址、電話號碼、身份證號等個人基本信息等。
消息一經傳開,信息洩露是否屬實、個人賬戶安全是否受影響等立即成為輿論關注的焦點。不過,截至發稿日,網帖中涉及的多家金融機構向記者做出回應。
其中,農行方面表示:“經認真核查比對,我行不存在客戶信息洩露問題。我行已向監管部門報告有關情況,並準備向公安機關報案。”
興業銀行方面表示:“經過深入核查比對,確認其中所謂的‘興業銀行信用卡客戶信息’與我行真實的客戶信息要素並不吻合,不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益。”
浦發銀行方面表示:“經排查比對,相關數據無我行賬戶信息,且與我行客戶信息要素不符。不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益。”
上海銀行方面表示:“我行對所謂‘上海銀行客戶信息’進行了詳細比對,發現其所謂客戶信息中並無我行銀行賬戶信息,且與我行真實客戶信息關鍵要素並不匹配。可認定該販賣信息非我行洩露數據,不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息。”
同時,上述銀行均表示,對於偽冒其信息、損害其商譽的不法行為,其保留追究其法律責任的權利。
此外,上海銀行方面在回覆記者時補充道:“我行部署多層次網絡安全縱深防禦措施,能夠及時發現、遏制網絡攻擊行為;制定了包括網絡、數據、終端、互聯網出口層面嚴格的管控措施。對於涉及客戶信息的生產網絡,實施封閉式管理;對開發、測試環境數據實施脫敏處理;對涉及敏感信息的業務系統,實施下載自動加密的技術;禁止USB口等外設的數據輸出;通過技防和人防手段加強員工行為監測、管理。”
記者在採訪中瞭解到,網傳信息之所以受到關注,在於內容確有一定“可信”之處。比如,此前本報記者花費較低費用確實可以買到諸如姓名、住址等個人基本信息(詳見本報2020年4月6日報道《暗網交易兇悍:信息失守正在拓廣金融“黑洞”》)。但有業內人士認為,這也不排除是騙局的套路之一,即花費較低價格買到部分正確的基本信息,但涉及銀行賬戶等專業領域的信息則需要花費更高的價格來購買,而買到的信息則不一定是真實的。
“目前市場上倒賣的很多數據都是不完整的,一些人花了大價錢買的是假數據。”一位金融科技公司人士推測,“不過每年都會有銀行客戶信息洩露的消息傳開,也可能是安全廠商故意放消息為刺激業務。”
個人信息安全受重視
雖然這一消息曝出後被涉及銀行迅速闢謠,但信息防洩密的重要性再次被提上日程,而目前隨著金融業網絡化程度不斷提升,個人信息安全仍面臨一些挑戰。
國家信息技術安全研究中心總師組專家李京春在接受記者採訪時表示,目前挑戰主要包括:數據開放促進數據利用與數據安全保障個人信息協同發展方面的挑戰;保障雲計算、大數據、AI(人工智能)、新一代移動通信等系統平臺安全方面存在新的挑戰;智能手機App治理方面也存在新問題和挑戰。“金融等行業的互聯網WEB網站系統(業務服務窗口)代碼程序存在命令注入、跨站腳本和信息洩露等多種漏洞或脆弱性,如何發現和修補這些漏洞、加強網站防護是一貫的挑戰。”李京春表示。
“信息系統最大的問題是程序裡存在BUG(編程人員邏輯錯誤留下的漏洞),以及人為蓄意埋下的後門漏洞,有的漏洞已經成為網絡武器。這些漏洞一旦被黑客發現和利用就會洩露個人信息和重要數據。金融等行業長期委託專業安全企業和機構開展網站安全檢測和漏洞修補工作,和黑客賽跑,爭取在黑客發現之前率先發現網站漏洞並進行修補等應急處理,會大大提高網站的安全性。但也存在黑客得手的時候。可以說網站安全問題是一個老大難的問題,需要老病新治,從病根上解決問題。”李京春表示。
個人金融信息一旦洩露,會造成多方麻煩。一位國有大行科技部人士告訴記者:“一旦個人信息洩露,對客戶來講容易引起盜刷風險致其資金丟失,甚至影響個人徵信;對銀行來講,盜刷風險也會帶來投訴,甚至是糾紛,且應訴流程繁雜,銀行的信譽也會受損。”
該國有大行科技部人士向記者分析:“信息洩露的原因一般分為內外兩種,外部來講,一是黑客利用銀行內部系統漏洞獲取信息;另一個是黑客從其他網站盜取用戶密碼,採用拖庫的方式將盜取的用戶密碼在銀行網站上試用,從而造成客戶信息洩露。內部來講,主要為銀行內部人員作案。”
記者檢索裁判文書網瞭解到,在過去不乏有銀行員工出賣客戶信息的事件發生,不過隨著科技的發展和嵌入,“內鬼事件”逐漸減少。前述金融科技公司人士向記者分析:“銀行員工洩露客戶數據的概率大大降低,因為客戶數據進入銀行內部經過‘在傳輸過程中加密,落地後脫敏’的處理過程,有效保證了信息安全,也就是說銀行工作人員也無法從後臺看到完整的信息。”由於商業銀行在內部辦公、第三方數據交換以及測試系統開發過程中,存在大量的數據交互,如果直接使用未脫敏的數據,極有可能造成數據洩露。某上市城商行信息科技部負責人認為:“銀行的數據安全管理很嚴格,如果發生數據洩露問題很可能出現在與第三方的業務合作中。”
在大數據、多元場景搭建等新業態下,銀行等金融機構如何有效保護個人金融信息?
李京春表示:“一是金融業要進一步完善IT治理體系,重點部位、重點崗位實行雙人制管理,做好重點人的教育、管理和監督,落實相關法規制度,提高安全意識。二是建立網絡安全態勢感知平臺和應急處理機制,完善網絡安全防護體系。提高威脅發現能力,提高查全率和查準率,利用大數據和人工智能技術快速溯源定位。金融業首先要做到威脅情報數據的共享利用,形成行業聯防聯動機制,最大程度地保護客戶個人信息安全。三是創新安全防護技術,採用動態、擬態、可信防護產品,改變網站防護的被動局面。四是建立網絡違法失信人員黑名單,納入金融網絡安全徵信管理。違法黑客往往違法數額不大,量刑定罪較輕,不好治理,要進一步打擊治理力度,完善治理策略,形成威懾。五是提高App治理水平,加強與有關部門和機構的合作,依據國家標準,開展數據安全能力成熟度評估,開展網絡安全風險評估,做好等級保護工作。”
此外,銀行基於自身客戶資源,天然有著豐富的信息數據,全盤保護所有的數據勢必對銀行的數據保護工作提出較高要求。前述金融科技公司人員告訴記者:“銀行已意識到數據治理的重要性,一來通過重要性分類篩選關鍵的重要信息;二來可挖掘數據價值,銀行的一手數據很有價值,之前分散在前中後臺並沒有充分利用起來,隨著大數據在各項業務中的應用加深,銀行通過治理現有數據建立自己的數據庫尤為重要。”
