近日,涉及國內多家銀行的數百萬條客戶數據資料在暗網被標價兜售的消息廣為流傳。儘管涉事的各家銀行在進行數據比對核查之後,均否認了被兜售數據資料包的真實性,但是牽涉面甚廣的龐大金融數據,尤其是銀行用戶涉敏信息的安全性如何保障,仍持續在行業引發關注、研討。
截至2019年底,我國開立銀行帳戶113.52億戶,全國人均擁有銀行帳戶數達8.09戶。這些帳戶安全誰來守護?尤其是,伴隨銀行線下業務線上化、與流量方邊界日益拓寬等新變化,也給銀行數據安全管理帶來新挑戰。
用戶資料遭白菜價甩賣?
銀行:與真實數據不符
涉及國內多家銀行的數百萬條客戶數據資料在暗網被標價兜售,連日來引發行業廣泛關注。4月15日,一位金融安全技術人士向證券時報記者證實在暗網確有看到該條盜賣信息。
從數據安全人士此前發布的相關截圖來看,被售賣信息裡包含了大規模的金融機構客戶數據,其中涉及上海銀行80.3155萬條、浦發銀行10萬條、招商銀行上海分行6.3萬條、中國農業銀行90萬條、興業銀行46萬條。洩露的資料既有儲蓄帳戶,也有信用卡帳戶及私行理財帳戶,含客戶姓名、客戶類型、性別、年齡、手機號碼、開戶帳號、住址郵編、存款數據等信息。
「46萬條銀行信用卡客戶數據標價不到100美元,90萬條數據標價只賣3999美元(折合人民幣約2.8萬元),簡直是『白菜價』。如果是真實數據,這麼龐大的數據量實際售價至少10倍以上。」一位大數據行業風控總監向記者評價,儘管截圖顯示的樣例數據非常詳盡,但這麼大的數據量價格卻低得離譜,盜賣數據是不是真的?可信度或許要打個問號。
為了核實上述情況,證券時報記者也第一時間聯繫了涉事銀行,興業銀行、招商銀行、浦發銀行態度相對一致:經過核查比對,與真實數據信息不符;不排除不法分子將不明來源數據冠以金融機構名義兜售,以牟取非法利益。
上海銀行相關人士告訴記者,「進行了詳細比對,發現其所謂客戶信息中並無我行銀行帳戶信息,且與我行真實客戶信息的關鍵要素並不匹配。可認定該販賣信息非我行洩露數據,不排除系不法分子為牟取不當利益偽造、拼湊、出售所謂銀行的客戶信息。」
113.5億銀行帳戶
誰在守護安全?
百萬條被兜售的數據資料包儘管真實性被駁,但龐大的金融數據尤其是銀行用戶涉敏信息的安全性如何保障?這已足夠引起行業及監管的重視。
央行統計顯示,我國銀行帳戶數量穩步增長,截至2019年末,全國共開立銀行帳戶113.52億戶、同比增長12.07%。其中,全國開立單位銀行帳戶6836.87萬戶、同比增長11.73%;個人銀行帳戶112.84億戶、同比增長12.07%;全國人均擁有銀行帳戶數達8.09戶。
「銀行業信息科技風控要求較高,需要符合國內外風控管理要求,包括商業銀行信息科技風險管理指引、巴薩爾協議、塞班斯法案等。」騰訊安全數據安全團隊負責人彭思翔告訴記者。
杭州某大型技術公司金融事業部總經理曾負責過銀行物聯網解決方案,涉及數據服務採集業務,他向記者舉例,「設備採集的信息一般會保存在當地銀行機構,在信息保存、傳輸安全性方面,一方面銀行本身設有專網,內網、外網隔開,還有硬體設施方面的防火牆設置防護;另一方面,各家銀行內部有各個層級對安全認證的嚴格覆核管理。」
「銀行的IT系統不具備大規模向外洩露數據的可能性。」某股份行風險管理部門總監向記者分析,「按銀保監會的相關規定,銀行業IT系統基本分為生產域、測試域、網際網路域等,三個域之間的數據傳輸受到嚴格限制。只有在生產域才能看到數據的全貌,測試域只有用於測試的數據,有數據量和脫敏的相關要求,網際網路域基本沒有客戶信息。從技術上、系統上看,大規模數據外洩講不通。」
流量經濟安全新挑戰:洩密在前端
從近期發布的國有六大行年報來看,其中有4家2019年科技投入總金額突破百億元,最高的建設銀行投入176.33億元。截至2019年末,工商銀行金融科技人員規模多達3.48萬名、全員佔比高達7.82%,建設銀行、交通銀行、中國銀行、農業銀行金融科技人員佔比分別為2.75%、4.05%、2.58%、1.58%。
銀行加大科技投入、科技人員擴容規模空前。然而,銀行數據涉密各個環節,儘管被最高等級的風險防護,仍難有萬全之說。
首先是不同金融機構之間、金融機構內部之間的安全能力有差異。「大中型的金融機構風險等級高,但是一些分支機構風險能力就較弱,可能帳戶密碼保護不嚴密。一些地下灰黑產業,就會有組織、有目的性地去攻擊,抓住一些系統平臺存在的漏洞。」周君楨介紹。
「銀行的風控水平並不是一碗水端平,」上述股份行智能風控中心總監直言,「有的銀行風控水平高、有的銀行風控水平低,實力強的銀行所有的模型都是行內專業人員建模;但是部分地方如偏遠地區的銀行等,缺乏高端數據專業人才,只能通過外包方式去建模型。甚至部分不具備技術能力的銀行直接拿過來就用一些第三方公司流量數據,這些數據包括身份認證三要素和部分行為特徵,但是往往這類數據可能在使用前已經可能被洩密了。」
「洩密環節出在前端」——在數位金融機構風控資深從業人士看來,這是伴隨著近幾年銀行線下業務線上化,在風險防控上更應該引起行業注意的一個新變化。
在彭思翔看來,銀行數據洩露可能發生的場景,除了信息科技運行領域訪問控制策略不當,開發、測試和維護領域三個環節未分離或分離後數據未脫敏,以及信息安全領域系統漏洞之外,其中一個重要的方面就發生在「外包管理領域」,「特別是對外包研發、測試的管理不當。生產環境暴露、資料庫過度授權,都會引起數據洩露。」
「因為行業業務屬性不同,銀行的IT系統和網際網路公司之間,往往有代際差異。」前述股份行智能風控中心總監向記者舉例,「比如面對一個網際網路流量平臺採用流量分發模型,100萬客戶分發給數十家不同的銀行,與之相應的,銀行與之對接的是流量準入模型;很天然地,這兩個模型之間是對抗關係,準入模型希望準入更多,而分發模型希望篩掉更多。在現實情況中,相比網際網路公司,銀行IT系統靈活度、可使用工具、覆蓋的行為數據數等,都處於相對劣勢。」
「今後銀行數據風控管理必將趨嚴」
「為促進金融行業健康發展與風險控制,監管層已經通過發布監管指引並將數據治理與監管評級掛鈎的方式,來提高銀行業對數據治理工作的重視,不管有沒有出現這次事件,銀行今後在數據風控管理上必將是趨嚴的。」數位銀行業內人士均認為,儘管這次盜賣數據真實性存疑,但它後續仍然會對業務層面產生影響。
2018年5月,銀保監會發布《銀行業金融機構數據治理指引》,旨在引導銀行業金融機構加強數據治理。去年12月,金融業移動金融APP備案首批試點開啟,首批23家試點備案名單中就有16家銀行,含5家國有大行、5家股份行、3家城商行、2家農商行、1家農信聯社,涉及提升安全防護、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律等五個方面,並劃定了涉及個人金融信息採集、使用、留存等方面四大紅線。
事實上,銀行數據管理趨嚴背後,是國家層面對個人信息數據管理工作的系統性出擊。去年下半年,工信部等數次公開點名批評百餘款應用軟體及其運營企業,涉及未經用戶同意超範圍及非必要使用個人信息等違規情形。
記者注意到,去年5月到8月,監管部門密集出臺了關於數據安全管理辦法、APP違規收集使用個人信息行為認定方法等多項徵求意見稿及草案。這也和上述數位銀行業人士的判斷契合,當前央行對銀行數據治理指引已經非常詳盡,未來的變化更多出現在相關立法層面。
「在數據確權、數據治理上,中國有著絕對的優勢,將是一個世界性的數據資產大國。」京東數科數位技術中心數據資產部總經理張旭認為,數據資產是銀行的核心資產,是政府安保數據之外最值得信賴的數據,今後數據向前發展必然面臨著確權,以及海量數據在手之後如何通過人工智慧等新技術做深度挖掘、開發應用的問題。
蘇寧金融研究院院長助理薛洪言接受記者採訪時稱:「從大環境的導向來看,為業內普遍認同的是,監管層仍然鼓勵在合規前提下推動金融機構數據高質量發展,比如與各類政務數據互聯互通,建立跨區域的數據融合應用等。」(記者 段久惠)