国家金融监督管理总局 视觉中国 资料图
6月27日,澎湃新闻记者从业内人士处获悉,国家金融监督管理总局办公厅近日向各银保监局、银行保险机构等下发《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》),要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。各级派出机构要督促辖内银行保险机构严格落实《通知》要求,严肃处置因管理不当引发的重大风险事件。
《通知》称,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
《通知》主要通报了企业微信服务风险情况和科技外包风险情况。
在企业微信服务风险情况方面,《通知》通报称,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
《通知》指出,上述事件存在的主要风险和问题包括:一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理;二是银行保险机构对合作中数据安全风险和责任识别划分不清。
金融监管总局要求,一是要开展风险自查,二是加强科技风险统筹管理,三是加强非驻场外包风险监测和监管报告。
“针对上述问题,银行保险机构要开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展摸排整改。在合同协议中强化数据安全要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不能扩大合作范围内容。”《通知》如此要求。
根据《通知》,银行保险机构应按照监管隶属关系,于7月10日前,将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局(分局)报告。银保监局汇总后,于7月20日前报送国家金融监管总局。
在科技外包风险方面,《通知》主要通报了5个事件,具体包括:
一、2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。
二、某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
三、某数据中心托管服务商的客户服务系统存在 SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条员工个人信息。
四、某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。
五、2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。
《通知》指出,上述事件主要存在的风险和问题包括:一是银行保险机构在供应链安全管理上履职不到位;二是银行保险机构对外包服务的应急管理机制不健全;三是外包服务商的安全管理和技术防护能力严重不足。
金融监管总局要求,银行保险机构应强化“服务外包、责任不外包”的主体意识,切实承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。
具体而言,一是切实履行网络和数据安全保护义务,二是采取针对性安全保护措施,三是建立健全应急处置机制。
《通知》强调,涉及本通知通报安全事件的有关银行保险机构,要制定风险整改方案和计划,并按照监管隶属关系向总局或派出机构报告,各级派出机构要加强评估,严格督促,确保落实,不留问题死角。对整改不力的机构,要及时采取监管措施。