据韩国金融监督院1月21日证实,韩国国民银行和农协银行等多家大型商业银行的大量用户信息遭泄露,内容涉及手机号码、个人地址、信用卡账号乃至部分银行交易记录等。
由于此次外泄的个人信息异常详细,对随之而来可能引发各种金融诈骗的担忧已迫使韩国民众蜂拥”销户,迄今已有超过115万用户办理银行卡的停用、注销或重办业务。该事件为我国银行业敲响了警种。
随着计算机和网络技术的发展,金融信息系统内部采集、存储、传输、处理的信息量越来越大,信息的重要程度也越来越高。近年来,各银行信息安全事件频发。众多泄密事件对企业的负面影响是深远的,所造成的经济损失和带来的影响是不可挽回的。
目前,银行面临的数据安全风险主要来自:一是项目外包风险。为了满足业务部门与日俱增的IT需求、缩短产品研发周期,银行很多信息系统引入了IT外包模式。但是,由于IT外包服务商的服务水平良莠不齐,如果我们对IT外包服务商的行为控制不严格,或IT外包服务商法律意识淡薄、内控不严而导致数据泄密,银行就可能面临因数据泄密而带来巨大的信誉风险和法律风险。二是系统开发与测试风险。当银行信息系统进入开发阶段,必须要将一些基础数据导入开发或测试环境以进行数据分析和开发测试,如果将未经脱敏处理的生产数据直接导入开发、测试环境,势必增加数据泄密的风险指数。三是数据查询与调阅风险。数据查询统计是银行科技部门的基本职责之一。对外,银行除了向当地人民银行进行数据报送外,还要在特定条件下为公、检、法等司法机构提供客户的实时生产账务信息查询;对内,银行要满足业务部门各类业务指标的查询统计需求。这些工作都要经过数据的产生、导出、交接、保存等工序,任何一个环节出现纰漏,都可能引发数据泄密。四是员工自身道德风险。不排除个别内部员工法制观念淡薄、道德防线脆弱,在利益的驱使下,利用职务之便搜集客户的银行卡号、姓名、金额、联系方式等大量敏感信息,并向不法分子兜售;或者在离职的时候带走银行重要客户的资料,这些都有可能造成银行重要数据的泄密,甚至引发法律风险。
鉴于此,建议银行及早采取有效的防控手段,避免敏感信息泄露。目前,若仅从规章制度进行安全要求已经不能控制风险,急需可行的技术方案进行主动控制。传统的网络安全产品如防火墙、IDS和漏洞扫描等,仅能解决信息安全部分问题,对于类似内部用户主动或被动泄露敏感信息等事件,成效不大。为了更好地防止银行数据泄密,解决数据安全传递问题,建议引入数据安全防泄密产品,搭建数据安全防泄密系统。从便携电脑、移动存储介质、信息共享、网络安全、桌面安全、安全审计等全方位的技术防范角度,来确保银行涉密信息系统安全保密技术防范措施的有效落实
