1月29日,銀保監(jiān)會(huì)開(kāi)出2021年第一張罰單,中國(guó)農(nóng)業(yè)銀行因涉及發(fā)生重要信息系統(tǒng)突發(fā)事件未報(bào)告、數(shù)據(jù)安全管理粗放存在數(shù)據(jù)泄露風(fēng)險(xiǎn)、互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站泄露敏感信息等六項(xiàng)問(wèn)題,被罰420萬(wàn)人民幣。
具體來(lái)看,農(nóng)業(yè)銀行涉及的違法違規(guī)行為包括:
(一)發(fā)生重要信息系統(tǒng)突發(fā)事件未報(bào)告;
(二)制卡數(shù)據(jù)違規(guī)明文留存;
(三)生產(chǎn)網(wǎng)絡(luò)、分行無(wú)線互聯(lián)網(wǎng)絡(luò)保護(hù)不當(dāng);
(四)數(shù)據(jù)安全管理較粗放,存在數(shù)據(jù)泄露風(fēng)險(xiǎn);
(五)網(wǎng)絡(luò)信息系統(tǒng)存在較多漏洞;
(六)互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站泄露敏感信息。
可以看出,農(nóng)行“六宗罪”主要涉及到兩個(gè)問(wèn)題:網(wǎng)絡(luò)安全與數(shù)據(jù)安全。
隨著金融科技的發(fā)展,大量銀行業(yè)務(wù)由線下轉(zhuǎn)為線上,交易鏈條不斷延伸,金融機(jī)構(gòu)生產(chǎn)交易系統(tǒng)之間、以及與外部合作機(jī)構(gòu)系統(tǒng)之間的信息交互明顯增多。但是,由于部分機(jī)構(gòu)安全風(fēng)險(xiǎn)防范意識(shí)不足,內(nèi)控管理不到位,技術(shù)措施和管理手段缺失,生產(chǎn)交易系統(tǒng)安全風(fēng)險(xiǎn)增大。因此,銀保監(jiān)會(huì)近年來(lái)也是屢屢發(fā)文提示此類(lèi)風(fēng)險(xiǎn),并加強(qiáng)了相關(guān)風(fēng)險(xiǎn)的檢查。
據(jù)《中國(guó)個(gè)人金融信息保護(hù)執(zhí)法白皮書(shū)(2020)》不完全統(tǒng)計(jì),截至2020年10月25日,中國(guó)人民銀行總行及各地分支行開(kāi)出的行政處罰罰單里,涉及“個(gè)人金融信息”的共181張。
這181張罰單罰款金額合計(jì)超過(guò)1.8億元人民幣;處罰對(duì)象包括銀行(含農(nóng)信社,下同)、證券公司、支付機(jī)構(gòu)、消費(fèi)金融公司等,以及對(duì)相關(guān)違規(guī)行為負(fù)有責(zé)任的具體人員;處罰的違法行為類(lèi)型包括未經(jīng)審批查詢(xún)個(gè)人金融信息、未按規(guī)定保存客戶(hù)身份資料和交易記錄、侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利等。
其中針對(duì)企業(yè)的罰款為18331.7394萬(wàn)元人民幣,針對(duì)個(gè)人的罰款為427.375萬(wàn)元人民幣。從罰款金額來(lái)看,企業(yè)占比98%,個(gè)人占比2%,受到處罰的行政相對(duì)企業(yè)為主。
普法教育
《網(wǎng)絡(luò)安全法》第三十一條規(guī)定,國(guó)家對(duì)金融等重要行業(yè)和領(lǐng)域,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》要求,銀行運(yùn)營(yíng)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)。
因此,銀行一般應(yīng)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,在履行網(wǎng)絡(luò)運(yùn)營(yíng)者的一般安全保護(hù)義務(wù)的基礎(chǔ)上,還需履行關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的特殊義務(wù)。而相關(guān)的規(guī)范規(guī)定更是數(shù)不勝數(shù),在今年就發(fā)布有《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》等等多個(gè)規(guī)范。
此次這個(gè)事件為我們敲響了警鐘,對(duì)于銀行們來(lái)說(shuō),不僅要吸取現(xiàn)有案例的經(jīng)驗(yàn)教訓(xùn),還應(yīng)當(dāng)以此為鑒,認(rèn)真開(kāi)展自查,采取有效防范和應(yīng)對(duì)措施,防止類(lèi)似風(fēng)險(xiǎn)事件再次發(fā)生。
一、是切實(shí)提高安全風(fēng)險(xiǎn)防范意識(shí),強(qiáng)化內(nèi)控管理。加強(qiáng)信息科技風(fēng)險(xiǎn)整治力度,確保信息科技資源投入合理、到位。建立健全科技崗位監(jiān)督制約機(jī)制,嚴(yán)格落實(shí)開(kāi)發(fā)與運(yùn)維崗位分離要求。
二、是開(kāi)展安全隱患排查,修補(bǔ)系統(tǒng)安全控制缺陷。重點(diǎn)排查各類(lèi)生產(chǎn)交易系統(tǒng)在異常交易場(chǎng)景下業(yè)務(wù)流程的完備性和安全性,確保交易環(huán)節(jié)中重要業(yè)務(wù)數(shù)據(jù)的完整性校驗(yàn)、加密等措施能夠有效防范數(shù)據(jù)篡改、泄露和重放攻擊等風(fēng)險(xiǎn)。
三、是嚴(yán)格落實(shí)開(kāi)發(fā)、運(yùn)維、外包管理制度。堅(jiān)持規(guī)范編程,嚴(yán)禁將數(shù)據(jù)庫(kù)用戶(hù)賬號(hào)和口令明文寫(xiě)入系統(tǒng)源代碼,強(qiáng)化安全測(cè)試,加大源代碼安全審查力度;各項(xiàng)運(yùn)維操作集中通過(guò)堡壘機(jī)實(shí)施,加強(qiáng)運(yùn)維用戶(hù)分級(jí)管理,嚴(yán)格管控運(yùn)維操作用戶(hù)權(quán)限,定期審計(jì)運(yùn)維操作日志。
關(guān)鍵詞:農(nóng)業(yè)銀行、網(wǎng)絡(luò)安全與數(shù)據(jù)安全
來(lái)源:安全圈