日前�����,國家金監總局向各地方銀保監局、銀行等機構下發了《關于加強第三方合作中網絡和數據安全管理的通知》(下稱《通知》),要求嚴查銀行合作的外包服務商���,保障數據安全。再次將外包數據公司存在的問題拉到討論中心。
監管對數據服務商進一步提出更高要求����,未來銀行業務外包的門檻和服務風險將會增大����。
600萬條銀行客戶數據泄露
根據此前國家金監總局公布的信息����,近幾個月以來,部分機構的外包服務商發生多起安全風險事件�����,給銀行的網絡和數據安全���、業務連續性造成了一定影響��。
在企業微信服務風險情況方面�,通知通報了一案例:
一位替金融機構做微信托管運營的代理商����,為多家銀行提供企業微信相關服務,將銀行客戶經理和客戶的聊天會話存檔在該服務商租用的公有云服務器上,會話存檔數據包含部分客戶姓名����、身份證號�����、手機號�����、銀行賬號等敏感個人信息�。未經銀行同意�,該服務商私自使用數家銀行600余萬條會話存檔數據用于該公司模型訓練��,并提供給關聯公司。銀行因未盡到對客戶敏感數據保護責任��,引發消費者維權投訴���。
在科技外包風險方面���,通知主要通報了五個事件:
一��、2022年8月��,4家省聯社托管在某服務商的網銀系統因存在越權訪問漏洞,被不法分子攻破���,大量客戶信息和賬戶信息被竊取。
二、某軟件開發公司負責程序投產包發布的員工,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼�。2022年5月�,黑客登錄郵箱并下載了部分郵件內容�,在向公司勒索未果后,7月將數據在海外網站售賣,涉及34家銀行業金融機構2個信息系統的部分程序源代碼��、設計文檔和數據庫配置文件等技術敏感信息��。
三��、某數據中心托管服務商的客戶服務系統存在SQL注入和文件上傳漏洞。2021年9月黑客入侵該系統并竊取數據庫中信息����,2023年1月在海外網站售賣,其中包括70余家銀行保險機構的數百條員工個人信息�����。
四�、某壽險公司采購部署的第三方軟件產品“保融第三方簽約平臺”,在網絡攻防演習時被發現其前端管理頁面的JS文件中明文寫有管理員賬號及密碼���,攻擊者可利用該賬號繞過前端驗證直接登錄系統,并查詢包含個人敏感信息在內的所有數據�,存在敏感數據泄露風險�����。
五、2023年2月�,某互聯網域名代理商因私自變更失誤����,導致某銀行互聯網域名解析失敗��,在業務高峰期影響金融交易達68分鐘��。
銀行需開展風險自查和整改
值得一提的是,今年1月���,工業和信息化部、國家互聯網信息辦公室等十六部門就曾在《關于促進數據安全產業發展的指導意見》提到要提高各行各業的數據安全防護能力�����。
而更早之前的《個人信息保護法》�����、《關于加強網絡信息安全與客戶信息保護有關事項的通知》����、《銀行業金融機構數據治理指引》等多部文件更是指明了銀行等機構在用戶數據的收集和使用上需要更加審慎���。
銀行作為數據最大�����、量最集中、涉及核心隱私信息最多的機構之一,在信息安全的處理上應該更加克制。但從目前看來,一些銀行因為對外數據包服務商的引入和審查過程中���,管理不當,導致風險事件頻發。
因此���,國家金融監管總局在通知中提出三點管理要求�,一是要開展風險自查���,二是加強科技風險統籌管理����,三是加強非駐場外包風險監測和監管報告。
自查方面��,國家金融監管總局要求銀行要摸清數字生態場景合作中的網絡和數據安全風險底數����,并開展整改。在7月10日前��,將風險自查和整改情況����、企業微信合作情況表向國家金融監督管理總局或銀保監局(分局)報告。銀保監局匯總后��,于7月20日前報送國家金監總局�。
在科技外包風險方面����,銀行保險機構應強化“服務外包、責任不外包”的主體意識����,一方面切實履行網絡和數據安全保護義務�,一方面采取針對性安全保護措施���,另一方面則是建立健全應急處置機制�����。
通知特別要求��,在此次安全事件的有關銀行機構,制定風險整改方案和計劃,按照監管隸屬關系向國家金監總局或派出機構報告���,對整改不力的機構,還要及時采取監管措施。
外包服務商問題由來已久
數據服務商興起于在現金貸市場野蠻擴張時期����,放貸機構為了規模增長四處尋找數據和流量�����,數據服務商剛好有相應的技術滿足這一需求。
也是在這個時期�,同盾科技����、新顏科技���、魔蝎科技等幾家大數據服務商迅速崛起����。
這些服務商通過自身技術攫取用戶信息提供給銀行��、消費金融公司��、催收公司等,幾年內賺取了大量利潤�,不過過度竊取和售賣用戶個人信息數據也引起了警方的注意����。
2019年是這些外包服務商的分水嶺之年�����,幾乎頭部幾家機構都遭到了監管的打擊����。
時任新顏科技CEO黃向前與時任魔蝎科技CEO周江翔先后被警方帶走調查���,隨后同盾科技爬蟲類產品“數據魔盒”負責人徐斐、童保華也被警方帶走��。
有資深銀行人士表示:像同盾這樣的大數據風控公司的模型屬于“黑箱”�,若不審核模型,銀行是不知道這類公司采用的是什么數據�����,無法確保數據來源的合規性�。
由于這些外包服務商使用技術手段已經涉嫌嚴重違法,央行對銀行及征信機構下發緊急通知��,要求銀行排查是否與第三方數據公司開展合作����,排查的合作內容涉及數據采集��、信用欺詐�、信用評分�����、風控建模等方面��。
同時銀行需要上報第三方公司的名字、股東背景����、是否涉及爬蟲����,確認沒有合作的��,也需要按照要求進行報送���。同時�����,對于商業銀行和數據公司合作在總行,執行在分支行的����,也屬于此次排查范圍��。
數據外包面臨更高考驗
隨著大數據技術廣泛引用,銀行數字化轉型也在進入深水期���,相較于完全自研的漫長時間成本以及高額的資本投入成本,城商行特別是一些中小城商行會通過業務外包或者是技術外包給金融科技公司�,以達到提質增效的目的。
資料顯示�����,目前��,銀行的外包提供商種類主要包括頭部互聯網平臺提供服務��、專業外包廠商輸送人力、銀行自建金融子公司并提供服務以及外資大型軟件企業提供服務等幾種,合作對象較為豐富,也基本滿足了目前銀行的外包需求���。
不過因為信息技術較為敏感,一些銀行在采購服務時,也存在流程不清���、約束較小、過于依賴外包等多種情況,極易出現監管的真空地帶。
此外���,隨著信息系統的深入,外包機構幾乎可以接觸到從技術架構到業務流程等各方面的銀行內部信息,若針對外包服務過程的保密措施不到位���,則極易發生風險。
特別是一些中小銀行,由于業務比較薄弱,能夠提供的外包預算也有限,因此要么在銀行基于人力���、精力投入成本考慮,做起甩手掌柜,要么購買的外包服務質量不高���,也極易加重信息泄露的風險。
再來說回提供外包服務的機構,目前市場上相關主體質量也是參差不齊。
根據類型不同���,銀行外包服務商也不一樣,銀行核心業務有恒生電子����、新致軟件等服務商�����,數據或風控有同盾科技、宇信科技�、摩羯科技���、薩摩耶����、邦盛科技等服務商�。
有些服務商因為與銀行立場不同,對外包服務商的相關作業人員監管不到位等原因,會出現外包人員會因為私欲竊取出現隱私信息售賣的情況。
建行就曾多次陷入“泄露門”丑聞��。在裁判文書網一起判例中���,崔某利用在建行永州市分行擔任外包人員的職務之便���,通過盜用管理人員陳某操作碼����,查詢外地個人信用報告3678筆。
崔某后以10元/份的價格通過呂某芳賣給廣東一名經營小額貸款公司的男子���,非法獲利36780元。
可以肯定的是��,隨著金融業邁入數字化時代���,數據安全���、數據管理成為監管重點�����,監管對于金融數據的安全排查也會呈現出力度越來越大�����、針對性越來越強的特點��。
未來�,銀行必須在更好的技術服務�����、更低的服務價格和更嚴�、更繁復的保密措施等方面做出平衡�,若不能及時完善信息外包管理流程,大概率會成為罰單上的??土?。
而銀行為避免違規的情況出現����,在挑選合作機構時,要求也會更高��,這也會直接導致一些在數據技術上落后的機構被淘汰���。
來源:消費金融頻道(作者 子卿)
湘公網安備 43010202000944號