经济导报    原创    山东    公司    金融    山东国资    智库    鹰眼IPO    热点    好品山东    证券    消费    楼市
山东财经网 - 金融 - 银保监会“放大招”:杜绝个人信息泄露!
银保监会“放大招”:杜绝个人信息泄露!
加入时间:2020-9-18 9:53:52  来源:中国银行保险报

  个人信息泄漏问题正在成为每个人的切肤之痛。从脱口秀演员池子对银行泄漏其流水的质疑,到频频出现的信用卡盗刷现象,再到央视“3·15晚会”曝光50多款移动客户端应用软件(APP)窃取用户隐私,这场关于“个人信息保护”的战役越来越激烈。

  由于个人信息和资金安全紧密相连,近年来,监管部门对于个人信息保护力度越来越大。近日,中国银保监会办公厅发布《关于银行保险机构互联网业务系统泄漏客户敏感信息的风险提示》(以下简称《风险提示》),要求各银行保险机构高度重视,有效防范和应对,确保不发生客户敏感信息泄露事件。

  不法分子无孔不入

  据了解,此次《风险提示》发布背景是由于某银行机构的微信银行系统存在安全漏洞被不法分子利用实施网络攻击,窃取大量客户敏感信息,进而盗取资金。

  具体来看,某银行机构因业务需要,在微信银行增加相关查询功能,用户在无需登录情况下输入本人身份证号码可查询在该机构已办理的银行卡号和柜面预留手机号等信息。不法分子则通过工具仿照公民身份证号码格式批量生成身份证号码,利用微信银行上述功能安全漏洞发起网络攻击,非法查询获取大量用户的姓名、银行卡号、柜面预留手机号等敏感信息。

  随后,不法分子在手机号码中筛选已停机、或停机后已被运营商重新出售的部分号码,通过新办或购买等方式控制相关手机号,进而获取短信验证码,实现在第三方支付平台注册、绑卡、交易等操作,非法盗取客户资金。

  银保监会认为,该事件主要反映了三个问题:

  一是微信银行系统存在重大安全漏洞。

  该机构微信银行在无需客户授权登录情况下,输入任何客户身份证号即可查询并显示该客户完整的银行卡号和柜面预留手机号,同时返回的系统报文数据中还附带了客户姓名、住址、单位等敏感信息,该功能既超出了业务需求规定的范围,又存在越权查询任意客户敏感信息的安全漏洞,是导致客户敏感信息大量泄露的直接原因。

  二是软件开发生命周期安全管控缺失。

  该机构在微信银行新增相关查询功能过程中,未评估系统开发设计方案中存在的网络安全风险,系统设计存在明显漏洞,未严格控制敏感客户信息的访问权限,未按照“最小必要”原则设计查询返回信息,未对查询返回的敏感客户信息做严格的加密和脱敏处理;系统上线前未开展网络安全测试,系统“带病上线”。

  三是风险监测、预警和处置机制不健全。

  该机构在系统上线后未有效开展安全评估,未及时发现和修补重大安全漏洞。风险监测系统未限制同一IP地址的查询频度和数量,未能在第一时间监测到不法分子的大量非法查询操作;不法分子实施窃取敏感客户信息的网络攻击时,未能尽快定位问题并阻断网络攻击行为;未能及时识别客户信息泄露风险,针对可能已泄露信息的客户采取预警和特殊防护措施。

  要建立客户信息保护长效机制

  事实上,随着监管对个人信息泄漏越来越重视,相关政策出台频率加快,对机构有关数据治理、个人信息泄露、网络安全的罚单也随之增多。

  政策方面,2019年11月,人民银行发布《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,移动金融应用客户端软件实名备案工作启动;今年2月,人民银行又发布了《个人金融信息保护技术规范》,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求;此外,个人信息保护法的草案稿已经形成。

  处罚方面,江苏银保监局6月公布了对江南农商行的行政处罚,该行因“网络安全工作严重不足”被罚款30万元;8月5日,上海银保监局发布行政处罚信息,招商银行、交通银行的信用卡部门因对客户个人信息未尽安全保护义务、对信用卡申请人资信水平调查严重不审慎,被责令改正并各被罚款100万元。

  此次事件发生后,银保监会在《风险提示》要求银行保险机构认真开展自查,采取有效防范和应对措施,防止类似事件再次发生,并提出了三点意见。

  一是提高网络安全风险意识,严格落实网络安全责任制。包括在互联网业务系统软件开发生命周期的各个阶段把好安全关口,加强安全检查、风险评估和审计,充分识别威胁客户信息安全的风险隐患,确保风险控制措施的有效性。

  二是全面排查互联网业务系统客户敏感信息泄露风险隐患,及时修补系统漏洞。包括开展一次全面、深入的风险排查,对潜在的、可能导致客户敏感信息泄露的风险隐患,尽快采取控制措施,修补漏洞,确保不发生客户敏感信息泄露事件。同时,要组织开展银行客户开户信息核实工作。

  三是建立客户信息保护长效机制。包括健全开发安全管理体系,制定本单位的客户信息分类和分级标准,建立日常安全运营管理机制,加强客户敏感信息风险监测预警体系建设,强化风险识别和监控,通过异常行为监测、攻击追踪溯源等手段,准确定位网络攻击威胁,为第一时间开展应急处置、采取风险防控措施赢得时间。




编辑:luyi

[山东财经网声明]:凡本网注明“来源:经济导报·山东财经网”的所有作品,版权均属于经济导报·山东财经网。经济导报·山东财经网与作品作者联合声明,任何组织转载、摘编或利用其它方式使用上述作品,敬请注明出处和作者,违者必究!。凡本网注明来源非经济导报·山东财经网的作品,均转载自其它媒体,转载目的在于传递信息,更好地服务读者,并不代表本网赞同其观点,本网亦不对其真实性负责,持异议者应与原出处单位主张权利。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。如因作品内容、版权和其它问题需要同本网联系的,请30日内进行。

 

 

 

新闻推荐
 
·> 这些地区间铁路旅行时间大幅压缩!回家更快了!
·> 世界首个!我国国内有效发明专利数量突破400万件
·> 91家公司排队备案境外上市 港交所和纳斯达克成热门选择
·> 1月16日A股收盘:大金融股异动,带动指数飘红!
·> MLF超额续作,一季度降准降息仍有可能
·> 深股通新增2只宽基ETF,便利境外投资者投资创业板优质企业
·> 首部“银发经济”政策文件出台!这些板块有望受益
·> 沪深交易所发出38份纪律处分,释放“严监管”信号
Copyright @ 山东财经网   地址:济南市泺源大街2号 大众传媒大厦F24

邮编:250014    电子邮箱:sdenews@126.com

备案号:鲁ICP备09023866-44号 鲁新网备案号:201000112

违法不良信息举报电话:0531-85196503 邮箱:sdenews@126.com