金融监管总局曝光“科技外包”数据风险!银行保险自查进行时!
近年来,随着“数字中国”战略的深入实施,银保、保险机构大力推行数字化转型。然而,在行业主体加大科技、数字化投入的同时,部分机构对信息科技外包服务商、第三方生态合作者的依赖度不断加大,并由于风险管控不严,导致网络、数据等信息安全风险事件频繁上演。
日前,国家金融监督管理总局(以下简称“国家金融监管总局”)最新发布的《关于加强第三方合作中网络和数据安全管理的通知》就深入揭露了这一问题。从『A智慧保』获取的《通知》内容来看,监管透露,近期部分银行保险机构的外包服务商发生了多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成了一定的影响,暴露出行业机构在外包管理服务上存在突出的风险问题。
从风险类型来看,《通知》重点提及了企业微信服务风险和科技外包风险的相关情况及重点问题,并给出了具体细化的监管要求。与此同时,文件强调银行保险机构应针对这些问题,深入排查风险隐患,切实加强整改。特别是涉及通报安全事件的有关机构,要制定相应的整改计划与方案,对于整改不力者,将采取监管措施。
【资料图】
这也意味着,随着《通知》的下发,银行、保险机构将按照监管指示,在科技外包服务、技术合作等方面展开一轮详细的风险自查,而存在明显问题的机构更是要进行不留死角的整改。那么,此次《通知》究竟涉及了哪些风险事件与问题,银行保险机构在数字化转型过程中,又该如何强化风控、压实责任?
先来看《通知》重点提及的企业微信服务风险情况,典型案例是:
某微信代理商为多家银行提供了企业微信方面的相关服务,将银行客户经理与客户的聊天会话,存档在该服务商租用的公有云服务器上,会话存档数据包括部分客户姓名、手机号、身份证号、银行账号等敏感个人信息。
然而,未经银行的同意,该服务商私自使用了数家银行600余万条会话存档数据,用于该公司模型训练,并将其提供给关联公司。据了解,在这一事件中,由于银行未尽到对客户敏感数据保护的责任,引发了消费者的维权投诉。
类似的案例,或许在银行日常的数字化客户服务中并不鲜见,但潜在的风险隐患却不容忽视。由此,针对这一典型事件,监管重点揭示了两方面的风险问题。
其一是银行保险机构对数字生态场景的合作情况底数不清,缺乏统筹管理。在开展数字生态合作时,银行保险机构外包风险主管部门、数据和科技管理部门未参与其中,且缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。
其二是银行保险机构对合作中的数据安全风险和责任识别划分不清。数字化转型合作业务场景连接,技术渠道相互嵌入,数据交互、存储情况较为复杂,银行保险机构对技术、业务数据等方面的风险识别不清晰,责任划分不明确,存在数据收集使用不合规、数据保护存在盲区、安全责任交叉等问题。
可见,对于银行保险机构的数字生态合作业务,相关技术主管部门普遍存在监督缺失等问题,并且对于第三方合作中存在的数据安全风险,银行保险机构也不够重视,易沦为“甩手掌柜”的角色。
相较企业微信服务风险,银行保险机构在科技外包风险方面暴露出的问题更加严重,这从《通知》一口气列举了五个重点案例即可看出。具体来看:
案例一:2022年8月,4家省联社托管在某服务商的网银系统,因存在越权访问漏洞,被不法分子攻破,大量客户信息与账户信息被窃取。
案例二:某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取了工作邮箱的密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月又将数据在海外网站售卖,涉及到34家银行业金融机构2个信息系统的部分设计文档、程序源代码和数据库配置文件等技术敏感信息。
案例三:某数据中心托管服务商的客户服务系统存在SQI注入与文件上传漏洞。2021年9月,黑客入侵该系统并窃取了数据库中的信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条相关员工的个人信息。
案例四:某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现,其前端管理页面的JS文件中明文写有管理员账号与密码,攻击者能够利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有相关数据,存在敏感数据泄露的风险。
案例五:2023年2月,某互联网域名代理商因私自变更失误,导致某家银行互联网域名解析失败,在业务高峰期影响金融交易长达68分钟。
从上述五例科技外包风险事件来看,尽管其所涉及的相关风险内容、影响后果不一,但暴露出的风控问题却不尽相同。为此,监管也总结了三方面的典型“症状”。
首先是银行保险机构在供应链安全管理上履职不到位。这主要表现在,银行保险机构对外包服务商的准入控制不严格;监督检查工作不够,对网络数据安全和系统运行风险不掌握;合作结束后未及时进行清理、删除数据;部分重要业务依赖单一的外包服务商,缺乏冗余措施等。
其次是银行保险机构对外包服务的应急管理机制不健全。《通知》指出,由于银行保险机构未建立相关的外包安全事件应急处置、客户投诉处理制度,导致事件处置措施不力、不及时;部分外包服务商发生安全事件后,也未及时向银行保险机构报告,且后者也未向监管部门作出报告。
再次,外包服务商的安全管理与技术防护能力存在严重不足。典型的现象如,银行保险机构未对外包服务商进行网络与数据安全相关政策的传导,以致外包服务商普遍存在“重交付、轻安全”的问题,安全漏洞隐患较多。
如上来看,监管直指银行保险机构在科技外包业务中面临的风险与问题要害,从监督履职、制度建设、政策传导等多方面,帮助行业主体建立风控意识。
面对企业微信服务、科技外包业务等方面暴露出的风险事件与风控问题,此次《通知》也给出了针对性、细化的监管要求,对于行业主体,特别是涉事机构而言或将面临一次不小的整改与规范。
在企业微信服务风险方面,《通知》明确,针对上述问题,银行保险机构要全面开展一次自查,摸清数字生态场景合作中的网络与数据安全风险底数,开展排查整改;在合同协议中强化对数据安全的要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不得扩大合作范围内容。
除自查整改外,银行保险机构还需加强科技风险统筹管理。比如要将数字生态合作纳入到外包风险管理范围,科技和数据管理部门应加强外包合作的网络与数据安全管理,加强风险评估与事件处置;此外,还需加强非驻场外包风险监测和监管报告。对于集中处理客户个人敏感信息和重要数据的非驻场外包,以及涉敏感级及以上数据的委托处理的外包合作,应重点关注、加强风险监测等。
值得一提的是,《通知》特别给出了自查、整改“时间表”,银行保险机构应按监管隶属关系,于7月10日前将风险自查和整改情况、企业微信合作情况表向国家金融监管总局或银保监局 (分局) 报告。银保监局汇总后,于7月20日前报送国家金融监管总局。
另外,针对科技外包服务暴露出的风险问题,《通知》则给出三点具体要求,分别是切实履行网络和数据安全保护义务、采取针对性安全保护措施和建立健全应急处理机制。文件强调,银行保险机构应强化“服务外包、责任不外包”的主体意识,切实承担数据安全的主体责任,统筹管理科技风险,压实外包服务商的安全责任,提升整体防控水平。
需要引起注意的是,《通知》提及的一系列监管要求,对于银行保险机构而言不可轻视,否则或将面临较为严格的监管措施。譬如,《通知》明确,各银行保险机构应对照上述问题,深入排查供应链风险隐患,并要求各级派出机构督促辖内银行保险机构严格落实,严肃处置因管理不当引发的重大风险事件。
此外,涉及《通知》通报安全事件有关的银行保险机构,要制定风险整改方案和计划,并向监管进行报告。各级派出机构也要加强评估,不留问题死角。对整改不力的机构,要及时采取监管措施。
由此不难感受到,监管正着力引导银行保险机构加强第三方合作中涉及的网络与数据安全风险防范工作,强化供应链安全管理,以保障在银行业、保险业数字化转型过程中,实现安全稳健运行。