近日,涉及国内多家银行的数百万条客户数据资料在暗网被标价兜售的消息广为流传。尽管涉事的各家银行在进行数据比对核查之后,均否认了被兜售数据资料包的真实性,但是牵涉面甚广的庞大金融数据,尤其是银行用户涉敏信息的安全性如何保障,仍持续在行业引发关注、研讨。
截至2019年底,我国开立银行账户113.52亿户,全国人均拥有银行账户数达8.09户。这些账户安全谁来守护?尤其是,伴随银行线下业务线上化、与流量方边界日益拓宽等新变化,也给银行数据安全管理带来新挑战。
用户资料遭白菜价甩卖?
银行:与真实数据不符
涉及国内多家银行的数百万条客户数据资料在暗网被标价兜售,连日来引发行业广泛关注。4月15日,一位金融安全技术人士向证券时报记者证实在暗网确有看到该条盗卖信息。
从数据安全人士此前发布的相关截图来看,被售卖信息里包含了大规模的金融机构客户数据,其中涉及上海银行80.3155万条、浦发银行10万条、招商银行上海分行6.3万条、中国农业银行90万条、兴业银行46万条。泄露的资料既有储蓄账户,也有信用卡账户及私行理财账户,含客户姓名、客户类型、性别、年龄、手机号码、开户账号、住址邮编、存款数据等信息。
“46万条银行信用卡客户数据标价不到100美元,90万条数据标价只卖3999美元(折合人民币约2.8万元),简直是‘白菜价’。如果是真实数据,这么庞大的数据量实际售价至少10倍以上。”一位大数据行业风控总监向记者评价,尽管截图显示的样例数据非常详尽,但这么大的数据量价格却低得离谱,盗卖数据是不是真的?可信度或许要打个问号。
为了核实上述情况,证券时报记者也第一时间联系了涉事银行,兴业银行、招商银行、浦发银行态度相对一致:经过核查比对,与真实数据信息不符;不排除不法分子将不明来源数据冠以金融机构名义兜售,以牟取非法利益。
上海银行相关人士告诉记者,“进行了详细比对,发现其所谓客户信息中并无我行银行账户信息,且与我行真实客户信息的关键要素并不匹配。可认定该贩卖信息非我行泄露数据,不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。”
113.5亿银行账户
谁在守护安全?
百万条被兜售的数据资料包尽管真实性被驳,但庞大的金融数据尤其是银行用户涉敏信息的安全性如何保障?这已足够引起行业及监管的重视。
央行统计显示,我国银行账户数量稳步增长,截至2019年末,全国共开立银行账户113.52亿户、同比增长12.07%。其中,全国开立单位银行账户6836.87万户、同比增长11.73%;个人银行账户112.84亿户、同比增长12.07%;全国人均拥有银行账户数达8.09户。
“银行业信息科技风控要求较高,需要符合国内外风控管理要求,包括商业银行信息科技风险管理指引、巴萨尔协议、塞班斯法案等。”腾讯安全数据安全团队负责人彭思翔告诉记者。
杭州某大型技术公司金融事业部总经理曾负责过银行物联网解决方案,涉及数据服务采集业务,他向记者举例,“设备采集的信息一般会保存在当地银行机构,在信息保存、传输安全性方面,一方面银行本身设有专网,内网、外网隔开,还有硬件设施方面的防火墙设置防护;另一方面,各家银行内部有各个层级对安全认证的严格复核管理。”
“银行的IT系统不具备大规模向外泄露数据的可能性。”某股份行风险管理部门总监向记者分析,“按银保监会的相关规定,银行业IT系统基本分为生产域、测试域、互联网域等,三个域之间的数据传输受到严格限制。只有在生产域才能看到数据的全貌,测试域只有用于测试的数据,有数据量和脱敏的相关要求,互联网域基本没有客户信息。从技术上、系统上看,大规模数据外泄讲不通。”
流量经济安全新挑战:泄密在前端
从近期发布的国有六大行年报来看,其中有4家2019年科技投入总金额突破百亿元,最高的建设银行投入176.33亿元。截至2019年末,工商银行金融科技人员规模多达3.48万名、全员占比高达7.82%,建设银行、交通银行、中国银行、农业银行金融科技人员占比分别为2.75%、4.05%、2.58%、1.58%。
银行加大科技投入、科技人员扩容规模空前。然而,银行数据涉密各个环节,尽管被最高等级的风险防护,仍难有万全之说。
首先是不同金融机构之间、金融机构内部之间的安全能力有差异。“大中型的金融机构风险等级高,但是一些分支机构风险能力就较弱,可能账户密码保护不严密。一些地下灰黑产业,就会有组织、有目的性地去攻击,抓住一些系统平台存在的漏洞。”周君桢介绍。
“银行的风控水平并不是一碗水端平,”上述股份行智能风控中心总监直言,“有的银行风控水平高、有的银行风控水平低,实力强的银行所有的模型都是行内专业人员建模;但是部分地方如偏远地区的银行等,缺乏高端数据专业人才,只能通过外包方式去建模型。甚至部分不具备技术能力的银行直接拿过来就用一些第三方公司流量数据,这些数据包括身份认证三要素和部分行为特征,但是往往这类数据可能在使用前已经可能被泄密了。”
“泄密环节出在前端”——在数位金融机构风控资深从业人士看来,这是伴随着近几年银行线下业务线上化,在风险防控上更应该引起行业注意的一个新变化。
在彭思翔看来,银行数据泄露可能发生的场景,除了信息科技运行领域访问控制策略不当,开发、测试和维护领域三个环节未分离或分离后数据未脱敏,以及信息安全领域系统漏洞之外,其中一个重要的方面就发生在“外包管理领域”,“特别是对外包研发、测试的管理不当。生产环境暴露、数据库过度授权,都会引起数据泄露。”
“因为行业业务属性不同,银行的IT系统和互联网公司之间,往往有代际差异。”前述股份行智能风控中心总监向记者举例,“比如面对一个互联网流量平台采用流量分发模型,100万客户分发给数十家不同的银行,与之相应的,银行与之对接的是流量准入模型;很天然地,这两个模型之间是对抗关系,准入模型希望准入更多,而分发模型希望筛掉更多。在现实情况中,相比互联网公司,银行IT系统灵活度、可使用工具、覆盖的行为数据数等,都处于相对劣势。”
“今后银行数据 风控管理必将趋严”
“为促进金融行业健康发展与风险控制,监管层已经通过发布监管指引并将数据治理与监管评级挂钩的方式,来提高银行业对数据治理工作的重视,不管有没有出现这次事件,银行今后在数据风控管理上必将是趋严的。”数位银行业内人士均认为,尽管这次盗卖数据真实性存疑,但它后续仍然会对业务层面产生影响。
2018年5月,银保监会发布《银行业金融机构数据治理指引》,旨在引导银行业金融机构加强数据治理。去年12月,金融业移动金融APP备案首批试点开启,首批23家试点备案名单中就有16家银行,含5家国有大行、5家股份行、3家城商行、2家农商行、1家农信联社,涉及提升安全防护、加强个人金融信息保护、提高风险监测能力、健全投诉处理机制、强化行业自律等五个方面,并划定了涉及个人金融信息采集、使用、留存等方面四大红线。
事实上,银行数据管理趋严背后,是国家层面对个人信息数据管理工作的系统性出击。去年下半年,工信部等数次公开点名批评百余款应用软件及其运营企业,涉及未经用户同意超范围及非必要使用个人信息等违规情形。
记者注意到,去年5月到8月,监管部门密集出台了关于数据安全管理办法、APP违规收集使用个人信息行为认定方法等多项征求意见稿及草案。这也和上述数位银行业人士的判断契合,当前央行对银行数据治理指引已经非常详尽,未来的变化更多出现在相关立法层面。
“在数据确权、数据治理上,中国有着绝对的优势,将是一个世界性的数据资产大国。”京东数科数字技术中心数据资产部总经理张旭认为,数据资产是银行的核心资产,是政府安保数据之外最值得信赖的数据,今后数据向前发展必然面临着确权,以及海量数据在手之后如何通过人工智能等新技术做深度挖掘、开发应用的问题。
苏宁金融研究院院长助理薛洪言接受记者采访时称:“从大环境的导向来看,为业内普遍认同的是,监管层仍然鼓励在合规前提下推动金融机构数据高质量发展,比如与各类政务数据互联互通,建立跨区域的数据融合应用等。”(记者 段久惠)