银行不能等到被重罚,才想起守护客户信息安全

    

　　

先来看几条新闻。

　　

7月28日,上海银保监局在官网公布了一份针对建行上海分行的行政处罚信息公开表。公开表格里的信息显示,2018年4月至2018年10月,建行上海市分行信息安全和员工行为管理严重违反审慎经营规则。

　　

依据《中华 人民 共和国银行业监督管理法》第四十八条第(三)项,上海银保监局对建行上海分行作出责令改正,并处罚款50万元的行政处罚。同时,针对相关责任人除以禁止其从事银行业工作十年的行政处罚决定。

　　

    

　　

同月,中国人民银行成都分行公布的行政处罚信息公示表显示,成都银行股份有限公司和中国农业银行股份有限公司四川省分行因违反信用信息安全管理、报送等相关规定,分别被处以 194.6万元和 223.2万元罚款。

　　

较早之前的今年年初,中国农业银行崇左分行曾因超范围使用千余学生信息,在未告知的情况下,私自开设了多个账户,被罚超过1100万元。而东亚银行(中国)也因违反信用信息采集、提供、查询及相关管理规定,而被中国人民银行上海分行处以罚款人民币1674万元,并责令限期改正。

　　

如果要列举最近几年银行因信息安全保护不力而被监管部门处罚的新闻事件,这个名单可以一直拉下去,不停翻页,因为实在是连篇累牍。

　　

    

　　

众所周知,安全可靠是银行的生命线,是银行开展业务最重要的前提。而银行的安全可靠,不仅仅局限于客户资金、资产的安全可靠,还应该包括客户信息、隐私的安全可靠。但为什么这些年,银行的信息安全问题愈演愈烈,银行因信息安全保护不利而被处罚的新闻屡见不鲜?

　　

    

　　

最近这些年,在各类新技术的发展与应用,以及新冠疫情等外部环境的倒逼之下,银行的业务不断线上化,越来越多重要的客户数据都由传统的线下保存转变为线上存储。

　　

因为业务的线上化,银行出于加强与外部场景的数据共享,加快新业务的发展,就不得不大规模地增加各种数据应用和接口。

　　

所有这些变化,在提高用户享受金融服务的便利性,拓宽银行业务场景边界,提升金融业效率的同时,也使得银行数据规模爆发式增长,进而给银行的数据管理带来前所未有的挑战:

　　

第一,要管理的数据内容更丰富更多元了,比如要将各种非结构化数据纳入管理范畴,要重点关注用户的个人隐私保护等等。

　　

第二,对数据管理能力的要求也更高。比如要对海量的金融数据进行全面的安全分级管理,要具备分布式的灾备和恢复技术能力。

　　

虽然银行的数据量激增,数字化转型提出了更多、更高的要求,但是就目前而言,很多银行的数据安全保护体系建设得还不够完善。一个典型的例子是,很多业务或技术人员对数据安全的管理目标认识不够清晰,数据安全意识和风险防范意识不强,认为数据安全只是安全团队的工作,与自身无关。

　　

在具体实践层面,大量的银行业务或者技术人员依旧未能建立起按照数据安全合规流程来处理业务的习惯,导致银行内部安全合规问题时有发生。

　　

除此之外,在云计算、大数据、人工智能等技术的推动下,不法分子发起网络攻击的手段、强度都不断升级迭代,使得传统的安全防御技术日益暴露不足,无法有效抵御外界的入侵。

　　

    

　　

传统的网络安全防护技术主要是通过在网络边界部署防火墙等安全设备,通过流量分析和边界防护的方式提供安全保护。但是在大数据环境下,高级可持续攻击(APT)往往隐蔽性高、感知困难,因此传统的安全防护技术基本无法防御。不仅如此,在大数据时代,网络攻击手段和攻击程序也在爆发式增多,例如借助云计算的强大算力,再结合人工智能等技术,能更加智能地发起攻击,而且还能将攻击巧妙地隐藏起来、躲过检测。

　　

所有这些内部、外部、主观、客观原因,都使得银行信息安全风险几乎无处不在,这也解释了为何银行信息安全事件频发。