6月19日,江蘇銀保監局公佈了對於江蘇江南農村商業銀行股份有限公司(以下簡稱“江蘇江南農商行”)的行政處罰。處罰信息顯示,江蘇江南農商行因網絡安全工作嚴重不足,江蘇銀保監局根據《中華人民共和國銀行業監督管理法》第四十六條第(五)項,罰款人民幣30萬元。
江蘇江南農商行罰單
如無疏漏,根據銀保監會官網查詢結果,江蘇江南農商行是首家因為網絡安全問題被處罰的銀行,這張罰單也是銀行業第一張網絡安全罰單。
P1
或因內部組織建設存在問題
案由為:網絡安全工作嚴重不足,處罰依據為《中華人民共和國銀行業監督管理法》第四十六條第(五)項。
《中華人民共和國銀行業監督管理法》第四十六條規定銀行業金融機構有下列情形之一,由國務院銀行業監督管理機構責令改正,並處二十萬元以上五十萬元以下罰款;情節特別嚴重或者逾期不改正的,可以責令停業整頓或者吊銷其經營許可證;構成犯罪的,依法追究刑事責任:
(一)未經任職資格審查任命董事、高級管理人員的;
(二)拒絕或者阻礙非現場監管或者現場檢查的;
(三)提供虛假的或者隱瞞重要事實的報表、報告等文件、資料的;
(四)未按照規定進行信息披露的;
(五)嚴重違反審慎經營規則的;
“嚴重違反審慎經營規則”是一個非常寬泛的條款,有很多問題都會觸發這項條款,比如將消費性貸款放入樓市等等。因此,雖然知道江蘇江南農商行存在網絡安全問題,但具體是什麼問題,我們無從得知,只能進行猜測。
《網絡安全法》第三十一條規定,國家對金融等重要行業和領域,在網絡安全等級保護制度的基礎上,實行重點保護。根據《關鍵信息基礎設施確定指南(試行)》要求,銀行運營為金融行業中的關鍵業務。
因此,銀行一般應被認定為關鍵信息基礎設施運營者,在履行網絡運營者的一般安全保護義務的基礎上,還需履行關鍵信息基礎設施運營者的特殊義務。
從這個角度出發,銀行需承擔網絡安全義務非常重,而相關的規範規定更是數不勝數,在今年就發佈有《個人金融信息保護技術規範》、《網上銀行系統信息安全通用規範》、《商業銀行應用程序接口安全管理規範》等等多個規範。
以下是吳丹君律師團隊整理的銀行業網絡安全相關法律規範條例,從銀行不同角度出發,對涉及到的條款進行了分類。
銀行業網絡安全法律規範(部分)
大致上,銀行業網絡安全分為兩個部分,一部分是技術建設,包括信息系統開發,相關安全技術使用,風控系統建設等等。
另外一部分是制度建設,包括銀行部門架構、員工管理制度、內部風險控制等等。
據業內人士透露,江蘇江南農商行購買了不少安全產品,覆蓋多個領域。因此,此次江蘇江南農商行被罰不太可能是因為安全風控技術問題,更有可能是內部組織建設沒有到位。
但是也有媒體爆出,江蘇江南農商行的安全系統在2015年就存在重大漏洞,其中一個漏洞是中間件弱口令漏洞,可以通過它輕而易舉地進入數據庫,從而獲取用戶信息。
江蘇江南農商行中間件弱口令漏洞演示
目前為止,對江蘇江南農商行被處罰的具體原因還處於猜測當中。
P2
網絡安全:銀行數字化轉型之難
去年,是銀行業數字化運營的興起之年。不論是國有大行還是股份制、城商行,都在從各個方面探索數字化轉型的方向和路線。
加強在金融科技、信息技術、互聯網技術上的投入是所有銀行共同的做法。近兩年,銀行業務的線上化、數字化步伐在不斷加快,基本形成了包括網上銀行、手機銀行、直銷銀行、微信銀行以及小程序等在內的線上全渠道服務能力。
這樣的好處顯而易見,增加了客戶接觸渠道,加快了業務效率,減少了線下成本,可以更好的推廣業務等等。但是相應的網絡安全風險也增加了。
當前,銀行已成為國內外敵對勢力、黑客組織、不法分子實施網絡攻擊、電信詐騙和滲透竊密的重點目標,除了傳統的SQL注入、DDOS攻擊、病毒木馬等常見攻擊外,針對銀行的APT攻擊、精準式網絡攻擊等攻擊手段也愈演愈烈。
而銀行業務在轉為線上時,系統可能未經過充分的安全評估和測試便“帶病”上線,難免在上線後出現各類安全漏洞,嚴重影響信息系統穩定運行。
因此,銀行在抓住金融科技助力銀行科技轉型升級的同時,也應尋求其在銀行網絡安全風險管控的有效著陸點,這對提升銀行網絡安全運營管理水平,特別是中小型銀行有著重大意義。
在目前的監管形式之下,加強網絡安全建設以及相關組織建設,或是銀行數字化轉型的必然之路。
