7 月 18 日,一则消息引爆金融和网络安全行业,国家金融监督管理总局依据《中华人民共和国银行业监督管理法》第四十六条第五项、第四十八条第二项,《中华人民共和国商业银行法》第七十三条第三项,对中行嘉兴分行存在的包括“违规泄露客户信息”等 6 项主要违法违规行为处以 210 万元的罚款。
银行客户数据安全问题又再一次成为社会广泛议论的焦点。
银行作为金融行业中普通公民最容易接触的实体机构,是国家金融系统的核心组成部分,对整个社会运转举足轻重。目前,乘着数字化转型的“东风”,银行业务追求智能化转型线上,已基本实现全民在线银行服务、移动支付和数字货币等。
然而,随着转型推进,储存、使用的客户数据量级呈几何式增长,面临网络安全风险与日俱增,一旦遭受网络攻击可能会导致大量客户数据泄露,给银行信誉和客户信任带来严重损害,扰乱社会正常生产秩序。根据 erizon 发布的《2023 年数据泄漏调查报告》(DBIR)来看,74% 的金融和保险行业数据泄漏事件涉及个人数据泄露,再加上银行储存的客户信息包括身份证号码、邮箱地址、社保号码等,这些信息一旦被非法分子获取,将对客户个人财产安全构成极大威胁。
更可怕的是,《金融行业网络安全白皮书(2020)》的数据结果显示金融隐私泄露事件正以每年约 35% 的速度增长。窥一斑而知全貌,金融行业的数据泄露事件激增,进一步凸显了银行现阶段面临的网络安全以及数据安全威胁。为应对这一挑战,银行业需尽快梳理并重视当前面临的安全风险类型,采取相应策略降低风险。
盘点常见的银行数据泄露形式
银行业频频发生数据泄露事件逐渐引起全球重视,经网络安全业内人士梳理每个数据泄漏案件详情,发现网络攻击仅仅有 20%-30% 是由黑客攻击或其他外部原因造成,由银行内部员工疏忽,甚至是“监守自盗”,擅自售卖客户隐私数据给网络犯罪组织,以谋取暴利的案件占据了 70%~80% 。
研究人员在梳理全球银行业数据泄露案件,发现网络犯罪分子针对国内外银行业发动网络袭击时,进攻的侧重点也有细微差别,国外银行主要遭遇勒索软件、供应链攻击以及APT攻击等,国内银行安全事件多为各种内部人员操作不当和钓鱼攻击造成客户数据泄漏。
1.国内银行典型数据泄露形式
(1) 内部人员倒卖信息
银行内部人员倒卖客户数据是近年来常见的方式之一。一小部分银行职员利用职务之便,私下收集银行内部敏感数据,”被动“或”主动“联系网络犯罪分子倒卖客户数据,以此获取暴利。
例如淮阴市某设银行员工参加黑色产业链,售卖客户个人信息案件一度闹得沸沸扬扬。警方透露该案涉及到违法收入 2000 多万元,一共 50000 多条公民个人信息被盗卖 ,该名银行基层员工通过将部分客户的身份信息、电话号码、余额、家庭住址、交易记录等敏感信息,售卖给下家,以此牟利。
裁判文书网也曾公开两起银行职员泄露客户隐私信息的犯罪案件判决书。其中上海某分行员工吴某某售卖公民个人征信信息830余条,被判侵犯公民个人信息罪,判处有期徒刑一年二个月,缓刑一年二个月,并处罚金人民币4000元。余姚某分行行长沈某某,将该行受理的贷款客户财产信息共计127条提供给他人用于招揽业务,被判侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币六千元。
(2) 银行触碰安全合规红线
银行收集了大量户开户、存款、交易记录等数据信息,鉴于这些数据的敏感性,一旦遭遇泄露,造成的后果难以设想,因此内部理应有着严格数据储存、使用和管理的系统机制,确保数据安全,但目前很多银行都没有尽到保护客户数据的义务,屡屡触碰数据安全合规红线,被处以重罚。
近期,业内议论最多的中国银行股份有限公司嘉兴市分行被罚 210 万一事,其中处罚书中就透露该银行被罚的主要原因之一就是因为违规泄露客户信息。值得一提的是,银行泄露客户的案例近两年出现多起。例如 2020年11月,农行吉林市江北支行因“侵害消费者个人信息依法得到保护的权利”“违反反洗钱管理规定,泄露客户信息”被警告,并被罚款1223万元;2021年1月29日,农行因“互联网门户网站泄露敏感信息”“数据安全管理较粗放,存在数据泄露风险”“制卡数据违规明文留存”等6项违法违规行为,被罚了 420 万元。
(3) 网络钓鱼攻击窃取数据
网络犯罪分子会使各种技术手段攻击目标银行系统,传统防御设备已很难应对现今的黑客攻击浪潮,加上网络犯罪组织往往采用极为先进的”技术手段“,擅长使用钓鱼邮件、社交工程对银行目标系统进行持续攻击,其中钓鱼邮件是网络犯罪分子最常见的攻击手段。
网络犯罪分子通过发送带有病毒或者勒索软件的钓鱼邮件,(通常会伪造成银行职员的工资单,福利通知,报销账单等),诱惑银行职员点击邮件中的恶意链接,一旦某个职员上当,恶意程序便会在其内部系统中”繁殖“,控制电脑,并且感染其它主机,最终悄无声息地盗取银行客户信息。
2.国外银行典型数据泄露形式
(1) APT 攻击
APT 攻击是一种周期较长、隐蔽性极强的攻击模式,相对其它攻击模式而言,因其目标性强、破坏力强、隐蔽性强、危害极大等优势,一直是最难防御的一种攻击方式。近几年,APT 黑客团体逐渐将攻击目标转向银行业,以谋取巨额利益。
其中比较著名的俄罗斯黑客团伙 Metel,该团伙将目标放在有机会接触金钱交易的机器设备身上,例如呼叫中心与支持设备,一旦成功入侵这些设备,攻击者们会利用其接入能力对ATM机的交易记录进行自动回滚。在对一台又一台ATM设备进行入侵之后,Metel犯罪团伙得以成功入侵 30 家企业。
(2) 勒索软件攻击
2010 年以来,勒索软件猖獗,迭代演进迅速,据相关机构的统计,勒索软件组组织针对科技巨头、政府机构、金融业的案例每年都成倍增长,其中银行、债券等金融机构保有大量客户数据信息,严重依赖数据资源维持正常运营,再加上银行业资金充沛,屡遭勒索软件攻击。
举一个典型的案例,近期西班牙环球银行(Bank Globalcaja)遭遇了 Play 勒索软件组织攻击,,该组织攻击了银行并窃取了数量不详的私人和个人机密数据、客户和员工文件、护照、合同等,要求环球银行支付巨额赎金,否则便泄露数据。
(3) 移动银行木马猖獗
2023 年上半年,卡巴斯基发布的《2022 年移动威胁》显示 2022 年新增了近 20 万个新型手机银行木马,同比前年增长一倍,是近六年来的增幅最快的一年。这些移动银行木马通过感染用户移动设备,窃取手机银行账户凭证或电子支付详细信息。
其中, Anubis 移动银行木马中是一个“独特”的存在 ,2016 出道以来,几经迭代,逐渐具有了远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件等盗取信息的能力,以及较低的使用门槛,在“木马圈”站稳跟脚,直至近几年位列最猖獗的移动恶意软件榜首。
(4) 数据存储在公网未被保护
现阶段,出于更便利、安全 、节省成本的考虑,越来越多银行金融机构将客户数据储存在云端数据库中,然而部分企业在数据上传到云端后就置之不理,缺乏更先进,更严密的隐私保护技术,尽管业内普遍认为云端的安全性不需要担心,但总发生云端储存的客户数据信息被泄露事件。
此前,研究人员就曾发现两家金融服务公司 Advantage Capital Funding 和 Argus Capital Funding 将数据存储在未受保护的 AWS S3 数据库中,导致 50多万个敏感的法律和财务文件遭到泄露。最终调查显示,这些文件似乎与名为 MCA Wizard 的商户现金透支移动应用程序相关。
3.安全漏洞可能是银行业数据泄露最大“元凶”
银行无疑是网络犯罪团伙紧盯着的”肥肉“,除上述几种获取银行客户数据的方式外,漏洞利用是国外黑客组织通用的技术手段。银行数智化转型阶段在新设备和新软件整体上线之前会在开发阶段、测试阶段、交付阶段进行各种安全检查,以避免类似 RCE 漏洞、水平越权、xss 漏洞之类存,但考虑到数据整体迁移备份问题,很难整体一次性更换老旧设备,难免会留有漏洞。
这时候,网络犯罪分子便有了可乘之机。
其中一个典型案例美国第一资本银行 1.06 亿银行卡用户及申请人信息泄露事件。网络犯罪分子佩奇汤姆森(Paige Thompson),利用第一资本银行内部系统防火墙中存在的安全漏洞,通过攻击该银行租借的云计算服务器,成功入侵银行数据库,最终造成 1.06 亿银行卡用户及申请人信息泄露。
值得一提的是,一旦遇到采用上述方式仍未获得想要的资源时,网络犯罪分子还会使用 BGP 劫持、爆破攻击等更为复杂、猛烈的攻击手段。
银行业务数据管理办法发布,提出新的要求
频频发生的银行客户数据泄露事件不仅挑动每一个公民的”神经“,同样是挑战网信部门和金融监管等相关部门红线。据不完全统计,仅 2022 年上半年,人民银行及银保监会向各类金融机构(包括银行、保险公司和非银支付公司等)共开出 685 张数据罚单,罚款金额约为 6.2 亿元,同比增长 67.5%。
为加强中国人民银行业务领域数据安全管理工作,2023 年7 月,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿))》(以下简称《征求意见稿》),划定数据处理者管理客户资料的”红线“,此举意味着央行正在积极探索数据安全管理的规范和措施,也对银行业务数据安全提出了新的要求。
《征求意见稿》对数据处理者如何进行数据分类分级、数据安全保护和合规要求进行了明确规定。首先,数据处理者应建立数据分类分级制度规程,根据中国人民银行的重要数据识别标准,统一对数据进行分级,并落实相应的网络安全等级保护和风险评估义务,进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
其次,数据处理者要压实数据安全责任,建立数据安全问责处罚制度和全流程安全管理制度,并制定相应的培训计划,要明确各数据处理环节所需的安全保护管理和技术措施,以满足数据处理活动的合规底线要求,明确处理使用客户数据的规范,切实保障客户数据的安全。
另外,数据处理者需要建立安全风险监测和告警机制,加强数据安全风险情报的监测、核查、处置和共享,并制定相应的应急预案、演练、事件处置、风险评估和审计工作流程。中国人民银行及其分支机构有权对数据处理者的数据安全保护情况进行执法检查,并对数据处理者违反规定的行为进行相应的法律责任追究。
《征求意见稿》的发布对我国金融领域数据安全保护制度的建立起到规范作用,其提出“谁对业务负责,就要对业务数据负责”、”谁对业务数据负责,谁就要承担保障数据安全的任务“的中心主旨划定了银行合规处理客户数据的红线,势必会有效促进银行对客户数据依法合规利用。
银行业常见数据安全保护措施
如上文所言,银行业面临复杂危险的网络环境,统计资料显示泄漏在互联网上的民众数据信息中 60% 来自银行等金融业,不难看出,银行业已成为黑客最青睐的攻击目标。面对如此严峻安全形势,银行应该在政策背景的要求下,注重技术与管理并重,积极做好信息安全保护策略,以应对应对网络安全和数据安全的挑战。
1.建立强大的网络安全基础设施
银行应投入资金和资源,建立全面的网络安全基础设施,包括但不限于使用高性能的防火墙系统来监测和过滤网络流量,以防止未经授权的访问和攻击。此外,还应该部署完善的入侵检测和防御系统,以便可以及时发现网络入侵,并采取相应的措施进行应对和防御。
2.加强员工安全意识教育和培训
从以往发生的银行数据泄露事件来看,许多都是人为因素,完全可以避免。因此,银行应定期组织网络安全意识教育和培训活动,以提高员工的安全意识和技能。同时,员工也应该保持警惕,不点击来自未知来源的链接或打开可疑的电子邮件附件,学会识别网络钓鱼、恶意软件等常见网络威胁。
3.加快新设备更新迭代的步伐
银行业面临的网络安全挑战日益严峻,其中银行陈旧设备的漏洞问题对数据安全构成严重威胁,再加上旧设备可能缺乏强大的加密算法和多层防御机制,无法有效应对日益复杂的网络攻击,黑客可以利用这些漏洞轻而易举地入侵银行系统,窃取客户敏感信息或干扰金融交易流程。因此,银行迫切需要加快更新陈旧设备,引入更先进的技术和安全措施,以防范潜在的漏洞带来的数据安全问题。
4.建立合规的数据存储和处理机制
银行应严格遵守相关的法律法规和监管要求,并建立合规的数据存储和处理机制。例如将客户数据存储在安全的数据中心中,并采取适当的物理和逻辑安全措施。此外,银行还需要限制对敏感数据的访问权限,并建立完善的审计跟踪机制,以监控数据的访问和使用情况,要定期备份数据,并测试数据恢复能力,以应对数据丢失或灾难事件。
5.及时报告和应对数据安全事件
银行应建立健全的安全事件响应机制,包括成立专门的安全团队负责处理安全事件,这样的话一旦发生安全事件时,银行应及时报告有关监管机构和客户,并采取相应的措施进行应对和恢复。同时银行还可以积极参与信息共享平台,与其他金融机构共同应对网络安全威胁,通过共享情报和经验,提高整个行业的安全水平。
仅仅依靠银行自身的安全措施,很难彻底保障客户数据安全,因此银行应积极与政府、其他金融机构和网络安全专家合作,共享情报、交流经验,通过加入网络安全合作组织,建立安全漏洞数据库,定期参与安全演练和渗透测试并及时采取措施进行修复和改进,共同应对网络安全威胁,打造出银行-安全公司-政府“三位一体”的立体化网络安全体系。