隨著金融機(jī)構(gòu)開(kāi)放生態(tài)場(chǎng)景建設(shè)不斷完善����,供應(yīng)鏈安全成為金融行業(yè)網(wǎng)絡(luò)安全管理面臨的新挑戰(zhàn)。
近日�����,國(guó)家金融監(jiān)管總局辦公廳印發(fā)《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(以下簡(jiǎn)稱《通知》)�,近期,部分銀行保險(xiǎn)機(jī)構(gòu)的外包服務(wù)商發(fā)生多起安全風(fēng)險(xiǎn)事件��,對(duì)銀行保險(xiǎn)機(jī)構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全����、業(yè)務(wù)連續(xù)性造成一定影響��,暴露出銀行保險(xiǎn)機(jī)構(gòu)在外包服務(wù)管理上存在突出風(fēng)險(xiǎn)問(wèn)題����。監(jiān)管方面要求金融機(jī)構(gòu)進(jìn)一步加強(qiáng)供應(yīng)鏈安全管理����,保障生產(chǎn)穩(wěn)定運(yùn)行。
這是繼2021年末原銀保監(jiān)會(huì)下發(fā)《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》以來(lái)����,對(duì)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理提出的又一細(xì)化要求。
(資料圖片僅供參考)
“既要連接又要安全��?�!币患医鹑诳萍甲庸究偨?jīng)理向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示����,目前其所在公司正在研究探討如何防范供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)。
金融網(wǎng)絡(luò)安全風(fēng)險(xiǎn)頻發(fā)
談及金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型�����,“開(kāi)放”“連接”“生態(tài)”都是屢被提及的關(guān)鍵詞。
然而�����,當(dāng)信息系統(tǒng)走向開(kāi)放�����,新的網(wǎng)絡(luò)安全問(wèn)題也隨之產(chǎn)生��,針對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊頻發(fā)����。
事實(shí)上����,涉及大量個(gè)人客戶敏感信息的金融行業(yè)一直都是黑客網(wǎng)絡(luò)攻擊的對(duì)象。中國(guó)信通院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)研究報(bào)告(2022年)》顯示����,中國(guó)網(wǎng)絡(luò)安全下游客戶中金融行業(yè)貢獻(xiàn)的營(yíng)收占比為17.4%,在各行業(yè)中位居第二��。從全球角度來(lái)看�,據(jù)Palo Alto Networks發(fā)布的《2022年Unit42事件相應(yīng)報(bào)告》指出,從行業(yè)角度來(lái)看,在過(guò)去一年中金融行業(yè)的贖金金額最高�,被勒索近800萬(wàn)美元。
在《通知》列出的5起科技外包風(fēng)險(xiǎn)事件中�,有3起事件是金融機(jī)構(gòu)由于外部服務(wù)商系統(tǒng)或外部工具存在安全漏洞,被黑客攻擊導(dǎo)致客戶信息泄露�,甚至遭遇勒索。
“商業(yè)軟件投毒的威脅已經(jīng)是目前金融機(jī)構(gòu)面臨的一大挑戰(zhàn)�。”墨菲安全聯(lián)合創(chuàng)始人兼COO周欣提到�,近兩年,對(duì)商業(yè)軟件有意識(shí)的投毒行為呈現(xiàn)出較為明顯的上升趨勢(shì)����,由于商業(yè)利益,金融機(jī)構(gòu)也是黑產(chǎn)較易發(fā)生軟件投毒的領(lǐng)域����,金融行業(yè)亟需提升對(duì)軟件投毒的警惕性。
供應(yīng)鏈安全管理新挑戰(zhàn)
監(jiān)管對(duì)金融機(jī)構(gòu)信息安全與外包風(fēng)險(xiǎn)管理早有要求����,而如今,金融機(jī)構(gòu)正面臨供應(yīng)鏈安全管理的新挑戰(zhàn)��。
21世紀(jì)經(jīng)濟(jì)報(bào)道記者從業(yè)內(nèi)人士處了解到���,2021年�,原銀保監(jiān)會(huì)曾下發(fā)《關(guān)于供應(yīng)鏈安全風(fēng)險(xiǎn)提示的函(銀保監(jiān)統(tǒng)信函[2021]371號(hào))》,對(duì)銀行網(wǎng)絡(luò)供應(yīng)鏈安全管理作出規(guī)范�����。到2021年12月30日�����,原銀保監(jiān)會(huì)又下發(fā)《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》��,要求機(jī)構(gòu)建立起外包管理體系�����,并強(qiáng)化相關(guān)主體責(zé)任��。
“去年年初銀保監(jiān)會(huì)這個(gè)文件出臺(tái)后��,我們內(nèi)部也出臺(tái)了相關(guān)辦法加強(qiáng)對(duì)外包風(fēng)險(xiǎn)管理�����,但側(cè)重點(diǎn)有所不同�。”某金融機(jī)構(gòu)的科技子公司總經(jīng)理告訴記者�����,2021年末的文件主要是針對(duì)外包供應(yīng)商的資質(zhì)���、合同等流程與機(jī)制作出管理要求����,其所有的科技外包合同都要向監(jiān)管報(bào)備����,但本次《通知》出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)是安全運(yùn)營(yíng)層面的,考驗(yàn)的是機(jī)構(gòu)對(duì)網(wǎng)絡(luò)攻擊防范�、災(zāi)難恢復(fù)以及與供應(yīng)鏈有效隔離的能力。他提到�����,其所在單位正在研究防范供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險(xiǎn)�����,特別是與其有合作���、有連接的供應(yīng)商�����,由于自身安全問(wèn)題給金融機(jī)構(gòu)帶來(lái)的風(fēng)險(xiǎn)���。
“金融機(jī)構(gòu)現(xiàn)在風(fēng)險(xiǎn)接觸面明顯增大��?��!敝苄栏嬖V記者,過(guò)去金融機(jī)構(gòu)的系統(tǒng)是相對(duì)封閉的����,且軟件�����、數(shù)據(jù)大多在B端層面流動(dòng)��,但近年來(lái)�,隨著金融機(jī)構(gòu)業(yè)務(wù)能力的包裝,他們的B端合作伙伴��,例如互聯(lián)網(wǎng)公司卻是需要對(duì)外暴露自身的接口甚至代碼,與此同時(shí)金融機(jī)構(gòu)在面向C端用戶下沉?xí)r���,如移動(dòng)端代碼等系統(tǒng)信息也暴露給了C端用戶���,風(fēng)險(xiǎn)接觸面的擴(kuò)大加大了安全問(wèn)題出現(xiàn)的可能。
另一個(gè)問(wèn)題是供應(yīng)鏈軟件的引入規(guī)模增大���。周欣提到�����,過(guò)去金融機(jī)構(gòu)的軟件大部分是自行研發(fā)的�,隨著業(yè)務(wù)需求與應(yīng)用場(chǎng)景的復(fù)雜化�����,金融機(jī)構(gòu)采購(gòu)商業(yè)軟件�����、外包開(kāi)發(fā)����、調(diào)用第三方開(kāi)源軟件愈加頻繁���,軟件供應(yīng)鏈規(guī)模不斷增大,且軟件間的調(diào)用��、依賴關(guān)系越來(lái)越復(fù)雜�����,風(fēng)險(xiǎn)排查的復(fù)雜性也隨之增大��。
同時(shí)���,很多金融機(jī)構(gòu)在將服務(wù)外包出去后��,整體驗(yàn)收過(guò)程仍是以功能性驗(yàn)收或業(yè)務(wù)驗(yàn)收為主�����,對(duì)安全的準(zhǔn)入標(biāo)準(zhǔn)和驗(yàn)收流程是缺失的,這也導(dǎo)致部分供應(yīng)商的安全隱患經(jīng)由供應(yīng)鏈帶入到金融機(jī)構(gòu)內(nèi)部�����。
亟待健全安全管理機(jī)制
在本次下發(fā)的《通知》中提到����,4家省聯(lián)社因托管在某服務(wù)商的網(wǎng)銀系統(tǒng)存在越權(quán)訪問(wèn)漏洞�,被不法分子攻破�����,大量客戶信息與賬戶信息被竊取���。
對(duì)此��,中小金融機(jī)構(gòu)的信息外包風(fēng)險(xiǎn)管理機(jī)制不足再次受到業(yè)內(nèi)關(guān)注�����。
安永(中國(guó))企業(yè)咨詢有限公司大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)合伙人張偉向記者指出��,省聯(lián)社和保險(xiǎn)公司在信息科技外包風(fēng)險(xiǎn)管理方面仍然有待加強(qiáng)����。目前我國(guó)政策性銀行�����、商業(yè)銀行普遍建立起信息科技風(fēng)險(xiǎn)管理“三道防線”,信息科技外包也作為信息科技風(fēng)險(xiǎn)的重點(diǎn)領(lǐng)域納入管理范疇��。但是在實(shí)踐過(guò)程中����,張偉關(guān)注到省聯(lián)社和保險(xiǎn)公司的信息科技風(fēng)險(xiǎn)管理成熟度相較于政策性銀行和商業(yè)銀行仍然存在一定差距,尤其是在信息科技外包風(fēng)險(xiǎn)管理原則的落實(shí)�、信息科技外包服務(wù)事前、事中���、事后的風(fēng)險(xiǎn)防控����,以及信息科技外包應(yīng)急處置等方面存在待提升空間�����。
監(jiān)管部門(mén)在《通知》中指出����,目前機(jī)構(gòu)存在的主要風(fēng)險(xiǎn)和問(wèn)題有三個(gè)方面,一是在供應(yīng)鏈安全管理上履職不到位��,二是對(duì)外包服務(wù)的應(yīng)急管理機(jī)制不健全�,三是外包服務(wù)商自身的安全管理和技術(shù)防護(hù)能力嚴(yán)重不足。
多位來(lái)自大型金融機(jī)構(gòu)的受訪對(duì)象向記者表示����,在安全管理機(jī)制完備的情況下,能很大程度地避免機(jī)構(gòu)自身帶來(lái)的網(wǎng)絡(luò)安全隱患�。
某券商科技部門(mén)人士告訴記者,在第三方合作協(xié)議簽訂時(shí)����,其明確要求客戶敏感信息做私有化部署,且數(shù)據(jù)不得用于其他用途���。另有某股份制銀行科技部門(mén)人士介紹�,銀行作為強(qiáng)監(jiān)管的行業(yè)����,在核心業(yè)務(wù)系統(tǒng)方面大多會(huì)要求第三方平臺(tái)駐場(chǎng)做數(shù)據(jù)的本地化部署。
“目前各家金融機(jī)構(gòu)對(duì)外包風(fēng)險(xiǎn)管理監(jiān)管力度不均衡�。”綠盟科技相關(guān)專家告訴記者���,當(dāng)下各家金融機(jī)構(gòu)開(kāi)展風(fēng)險(xiǎn)評(píng)估的外包商范圍不同��,有的選擇性抽查開(kāi)展�����,有的全面開(kāi)展�,金融機(jī)構(gòu)對(duì)開(kāi)展信息科技外包活動(dòng)的重視度不夠,金融機(jī)構(gòu)需排查對(duì)外包商分類(lèi)分級(jí)的落實(shí)情況��。
周欣表示��,未來(lái)供應(yīng)鏈風(fēng)險(xiǎn)需要透明管理����。“過(guò)去軟件供應(yīng)鏈風(fēng)險(xiǎn)治理是缺乏觸發(fā)該缺陷場(chǎng)景的檢測(cè)能力的�����,即便安全風(fēng)險(xiǎn)有所暴露也難以即時(shí)加以觸發(fā)和檢測(cè)���,如果沒(méi)能構(gòu)成安全風(fēng)險(xiǎn)的識(shí)別閉環(huán)�,基本上也意味著安全風(fēng)險(xiǎn)不透明���?��!敝苄乐赋?���,要識(shí)別出在哪些場(chǎng)景可以觸發(fā)安全漏洞��,則需要對(duì)供應(yīng)商提供的軟件進(jìn)行深層次分析����。
綠盟科技相關(guān)專家向記者提到��,目前部分金融機(jī)構(gòu)相關(guān)人員安全意識(shí)仍存在不足����,他提到,現(xiàn)在的安全管理依舊是割裂的�,工具是各部分自用的、大型組織中采購(gòu)�、開(kāi)發(fā)、運(yùn)維��、安全管理團(tuán)隊(duì)各自維護(hù)著自身的軟件資產(chǎn)����,無(wú)法形成統(tǒng)籌,管理人員與操作人員也不具備相應(yīng)的安全視角���,依舊關(guān)注能力效率��,不注重安全合規(guī)交付���。
關(guān)鍵詞:
