商业银行数据安全风险知多少?
信息科技的进步和普及,迎来了商业银行创新发展的重要时机,依托科技建设的业务重组和机制重构提升银行信息管理水平和核心竞争力。在商业银行转型和发展的同期,数据安全风险也是形影相随。如何准确辨识风险点、科学有效管理而避免损伤是商业银行的必修课。
近几年银监会相继发布了一系列指导文件,特别强调信息科技安全管理的至关重要性。商业银行的基础是什么?毫无疑问就是信息和数据。对于客户来说,银行在提供服务的同时,必须要为客户提供可靠地环境以及信息的准确性和安全性。现今银行面临着自主建设和运维能力不足、信息安全体系不完整和发展状况参差不齐的问题,但随之而来也产生了相应的安全风险。
那么商业银行泄密隐患都潜伏在哪里呢?我们总结诱因主要来自四方面:
1、外包服务风险大
出于场地和人力资源等因素考虑,外包服务在银行已经非常普遍,而服务内容和水平的差异化、人员管理的不规范化,给信息安全带来隐患。银行的外包管理体系滞后、外包依赖性过强的现状不置可否,有些外包商是可以接触到敏感信息的,且或多或少了解银行和其系统的状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。
2、国外产品过度依赖
数年来银行业过度依赖国外产品和技术,核心软硬件如操作系统、数据库、存储等普遍来自国外,国产化率较低,自主可控的压力较大,存在着难以预知的安全风险。自“棱镜”事件曝光后,国内“去IOE”的呼声越来越高,由于兼容性、稳定性和核心技术等问题,短时间内要想较大规模实现信息系统国产化替代难以达成,对银行信息安全存在重大隐患。银监会视国产自主可控为重要任务,在今年的指导意见批文中也明确表示,到2019年银行信息建设国产化普及率力争达到75%。
3、数据安全建设未达到全方位布局
互联网正改变着传统金融的运作模式,作为开放性质的网络金融面临的信息安全风险是全方位的,除传统互联网风险,还面临新形势、新技术、新业态的安全风险挑战。网银支付系统、信用卡系统、结算系统等重要银行业务随时面临着被攻击的泄密风险。如果没有规划性整体信息安全布局,创新业务发展会受到制约。
4、客户信息保护机制不完善
商业银行信息化建设中普遍存在“重建设轻管理”的误区。客户信息保护机制不完善,违规成本低廉也是重要诱因之一。银行在客户信息保护方面的制度大多为原则性规定,未形成覆盖个人信息采集、保管和销毁等各个工作环节的实施细则,许多银行缺乏信息调阅、查询等信息交接过程的记录,为泄露客户信息埋下了风险隐患;内部问责制度缺失,事后惩罚较轻,使得风险隐患不断累积。银行作为金融机构,其特殊性使得员工比其他职业更容易诱发犯罪行为,因此如何提高员工保护客户个人信息的法律意识对银行而言也极为重要。
明朝万达数据安全专家表示:“信息资产的核心就是数据,数据加密仍是保护信息最可靠的一张王牌。如果数据本身不做加密,再多的政策和防控手段都可能变为徒劳。一旦破坏者得手,盗用风险依旧存在。”
明朝万达自主研发的Chinasec(安元)银行业数据安全解决方案采取国密算法,符合国家对金融行业数据安全政策性要求。方案提供各种安全组件供业务系统或用户使用,实现敏感数据在银行办公网、业务网和互联网中从产生、存储、使用、流转、追踪到销毁的整个生命周期平台化安全管控。在满足银行业信息安全技术性要求基础上,提供系统运维阶段强力度安全支持;根据银行安全现状进行搭配,具有良好的延展性;并提供“数据安全中间件”和“移动安全中间件”为银行业务系统提供可“按需定制的安全防护服务”,即可以贴身保护业务系统安全,又由于“内建式安全”实现无感知安全防护获得良好用户体验。迄今已成功服务于国家开发银行、中国银行、中国邮储银行、中国农业银行、光大银行、广发银行、民生银行、中信银行等二十余家金融单位。
数据安全体系建设是一项重要的系统化工程,为科技发展产生的各种风险提供管理和控制。商业银行需要“技、制、人”三方全面有机结合、相互促进,为业务发展和创新提供坚实保障。