近日,国家金融监督管理总局发布《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“《通知》”)。
《通知》提到,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。对此,国家金融监督管理总局要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。各级派出机构要督促辖内银行保险机构严格落实《通知》要求,严肃处置因管理不当引发的重大风险事件。
《通知》主要通报了两类风险。
第一类是企业微信服务的风险。《通知》提到,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
其中存在的主要风险为:
1.银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理;
2.银行保险机构对合作中数据安全风险和责任识别划分不清。
国家金融监督管理总局要求银行保险机构:
首先,全面开展自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排查整改。在合同协议中强化数据安全要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,整改完成前,不能扩大合作范围内容;
其次,加强科技风险统筹管理,数字生态合作纳入到银行保险机构的外包风险管理范围,加强统筹管理,科技和数据管理部门应加强外包合作的网络和数据安全管理,加强风险评估和事件处置;
最后,加强非驻场外包风险监测和监管报告。对于集中处理重要数据和客户个人敏感信息的非驻场外包,以及涉及敏感级及以上数据的委托处理的外包合作,银行保险机构应重点关注,加强风险监测,并按《银行保险机构信息科技外包风险监管办法》第三十七条、《银行保险机构数据安全办法》第六十条之规定向国家金融监督管理总局或其派出机构报告。
据悉,银行保险机构应按照监管隶属关系,于7月10日前,将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局(分局)报告。银保监局汇总后,于7月20日前报送国家金融监管总局。
第二类是科技外包的风险。《通知》通报了包括黑客攻击、域名代理商变更失误导致影响交易等5个事件来进行说明:
1.2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。
2.某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
3.某数据中心托管服务商的客户服务系统存在 SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条员工个人信息。
4.某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。
5.2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。
《通知》指出上述事件主要存在的风险为:
1.银行保险机构在供应链安全管理上履职不到位;
2.银行保险机构对外包服务的应急管理机制不健全;
3.外包服务商的安全管理和技术防护能力严重不足。
国家金融监督管理总局要求,银行保险机构应强化“服务外包、责任不外包”的主体意识,承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。具体应当切实履行网络和数据安全保护义务,采取针对性安全保护措施,对外提供数据应按“业务必需、最小权限”原则进行;建立健全应急处置机制,将自我检查与监督外包相结合,及时报告发现的安全缺陷和漏洞。