文 | 张玉洁 戴安琪
来源 | 中国证券报
有人在暗网出售金融机构客户信息?
社交媒体账号Bank Security近日发布消息称,有数百万国内银行客户的数据正在被出售,涉及兴业银行、上海银行、浦发银行等,相关信息超过百万条。
来源:推特截图
这些个人信息包括客户的姓名、身份证号、手机号码、存款数据、家庭住址以及所办理的业务等信息。
事发后,涉事银行和金融机构均在第一时间对此事进行了回应。其均表示,数据与真实客户信息要素不匹配,不排除是拼凑、伪造的信息。
多家银行紧急回应
农业银行对中证君表示,对于近日网络上不法分子贩卖的所谓“农行客户信息”,经认真核查比对,农行不存在客户信息泄露问题。农行已向监管部门报告有关情况,并准备向公安机关报案。农行将积极配合公安部门调查取证,如有进一步情况,将及时公布。
兴业银行对中证君回应称,网络上的信息不属实。对于不法分子在暗网上发帖声称可出售所谓的多家银行客户信息数据,经过深入核查比对,确认其中所谓的“兴业银行信用卡客户信息”与该行真实的客户信息要素并不吻合,不排除系不法分子伪造、售卖所谓银行客户信息牟取不当利益。
浦发银行回应,经排查比对,网传数据没有该行客户账户信息,且与该行客户信息要素不符。不排除不法分子将不明来源数据冠以金融机构名义兜售,以牟取非法利益。对于伪冒该行信息、损害该行商誉的不法行为,浦发银行表示,将保留追究其法律责任的权利。
中国平安回应称,经排查,相关客户信息并非公司客户,系不法分子伪造。“我们对伪造并贩卖公民信息的犯罪行为表示严厉谴责,呼吁有关执法司法部门严厉打击这一违法犯罪行为。”
上海银行相关人士回应表示,已对“上海银行客户信息”进行比对,发现其所称的上海银行客户信息中并无该行银行账户信息,且与真实客户信息关键要素并不匹配。上海银行认定该贩卖信息非该行泄露数据,不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。
招行回应称,经比对相关数据,网络信息与该行真实客户信息并不吻合,信息不属实。招行谴责任何伪造并贩卖公民信息的犯罪行为,并保留追究损害该行声誉法律责任的权利。
信息从何泄露
一位金融科技工作人士表示:“一般金融机构的数据泄露有两种途径,一是内部员工出卖数据,二是黑客入侵数据库。”
某银行研究员向记者提到,一般来说,银行内部的客户信息有十分严格的保管及使用规定,在接触数据时都会留下经办人信息,通过银行内部规定将信息泄露的口子堵住。
此前,银保监会发布的《银行业金融机构数据治理指引》对个人信息安全的保障要求是:“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。”
各银行也根据银保监会相关规定,制定了内部管理条例。同时,银行的内网(局部工作网络)和外网(互联网)系统严格分开,有很强的保密规则,外网无法使用U盘等设备接入内网机,也无法将数据上传至互联网。这些措施都在最大程度上防止了数据外流,保证数据安全。
上海银行表示,高度重视客户数据安全,已部署多层次网络安全纵深防御措施,能够及时发现、遏制网络攻击行为;制定了包括网络、数据、终端、互联网出口层面严格的管控措施。对于涉及客户信息的生产网络,实施封闭式管理;对开发、测试环境数据实施脱敏处理;对涉及敏感信息的业务系统,实施下载自动加密的技术;禁止USB口等外设的数据输出;通过技防和人防手段加强员工行为监测、管理。
“不过,即便银行采取了措施,仍然有些数据可能泄露。泄露可能发生在层级相对较高、能接触到数据的管理者层面,他们可以越过部分限制,将数据外传。”有业内人士告诉记者。
数字化转型需保证安全
对于金融机构如何防范外部攻击,上述人士表示,通常会在技术层面采取缩小知悉范围、设置访问权限等措施,防范网络攻击。
虽然金融机构纷纷加强内控和防范外部攻击,但信息安全好比“猫鼠游戏”,互相较量是一个长期过程。只要通过个人信息牟利的现象存在,个人信息泄露的风险就始终存在。
各大银行近期发布的2019年年报均指出,未来将大力推动数字化转型,大量个人业务将迁移至云上或线上进行。虽然提升了业务效率和便捷程度,但不可避免的是,其信息安全相关风险也相应提升。
某国有大行人士表示,数字化转型成为银行未来发展的重要路径之一。但从银行角度来看,数字经济发展有很高的风险,这种风险的形态和传统的经济有所不同。数据具有天然的流通属性,受时间、空间的束缚很小,扩张的倾向明显,数字经济在不断扩展生产可能性边界的同时,也潜藏着特定的风险。银行内部本身有大量的金融交易数据,需要特别重视数据的安全工作,这其中不仅要保证客户资金的安全,更要保证客户数据信息的安全。