第三方机构给银行带来关联风险：曾有关联机构疑似被迂回攻击

4月24日下午，2021西湖论剑·网络安全大会召开“金融网络安全分论坛”。中国人民银行科技司安全处副处长沈筱彦指出，金融机构缺乏安全保护与共享利用双向的激励机制，导致有的机构担心自身数据被抢占，宁可守着数据孤岛也不愿意推动数据合作。

还有专家指出，在开放银行体系下，引入大量第三方机构带来了关联风险，需要尽可能将防护能力往第三方延伸。他呼吁，在不同的应用场景下细化现有制度，除了国家层面、行业层面，企业内部也要根据场景和应用方向制定操作手册。

文|蒋琳

金融机构担心自身数据被抢占，不愿推动合作

近年来，作为数字经济的关键生产要素，数据的经济属性和价值属性不断受到关注和重视。对于拥有海量高价值数据资源的金融行业来说，数据安全风险与数字经济发展如影随形。诸如隐私保护、分类分级、生命周期保护的问题从一定程度上制约了相关业务发展。

沈筱彦透露，根据人行开展的一项针对金融机构的调研，金融机构面临的数据安全难点主要表现在法律、标准和技术三个层面。

在法律层面，金融机构缺乏安全保护与共享利用双向的法律激励约束，如何权衡金融数据安全与利用、识别金融重要数据、规范金融数据交易与流通、理顺金融数据的泄露处置与权责分工等方面仍存在较多规则不明的地带。

在既往通过共享提升服务质效的同时，金融机构也担心竞争对手利用自身数据抢占获客入口，成为数据寡头，同时对是否可通过数据共享合规获利存疑。缺乏激励机制的情况下，金融机构权衡利弊后，宁可守着数据孤岛也不愿意推动数据合作。

在标准层面，金融机构普遍希望加快数据安全标准，认为缺少标准指导的机构达到178家，需求集中在分类分级、全生命周期安全、安全评估、安全日志记录与审计、共享质量评价、共享数据统一描述等方面。

在技术层面，技术创新为金融数据引入新安全风险同时，也为提升金融风险防控能力提供了武器，但金融机构对这两方面技术变革的应对和研究仍有不足。

中国建设银行信息安全管理处处长陈德锋分析认为，银行面临的数据风险分为两类。一方面是外部威胁——黑客、不法人员通过攻击信息系统窃取数据，通过暴力拆解筛选数据，或是通过网络“钓鱼”骗取客户信息。另一方面则是内部威胁。银行内部人员违规作案，受到外部利益诱惑，违规采集客户信息进行违法贩卖。

究其原因，在中国人民银行科技司安全处副处长沈筱彦看来，金融业的特性决定了它在数据安全上面临的挑战相比传统行业更加突出。四个主要原因是：经济利益驱动提升了金融数据安全风险发生概率，新兴技术应用增大了金融安全风险识别难度，多重概念属性增大了金融安全数据的管理复杂度，业务融合创新增大了金融数据安全风险危害度。

第三方机构技术水平不足给银行带来关联风险

在开放银行体系下，银行引入大量第三方关联机构，他们的技术水平、网络安全防护水平参差不齐。事实上，即使是同业金融机构之间的关联，也会带来关联风险。

中国农业银行科技与产品管理局信息安全与风险管理处处长何启翱举例说，如今做智慧旅游、智慧医疗等项目，银行会和旅游机构、医疗机构、学校签订协议，接入他们的系统。他们曾监测到有类似学校和地方大数据中心疑似被迂回攻击。

“我们做了开放银行后，大量的交易接口和第三方机构关联，他们的系统被攻破，给银行带来的更多的是数据损失。”他表示，现在农行的做法是尽可能把自己的防护能力往第三方延伸，从互联网加强防护程度。

比如要求业务部门和第三方交易的时候进行逐字段的审查，哪些接口查询哪些信息，查询到哪些程度，有些是加密的，有些是非加密的，要有更细场景的规范。

除了被动的防护之外，何启翱说，农行还会从日志里分析出一些超权限的查询，用数据治理数据。比如尝试分析柜员单位时间的平均客户信息访问数量，根据阈值进行预警。

据何启翱介绍，去年，农行对比排查疑似信息泄露事件发现，没有一起是通过农行直接泄露出去的，绝大部分疑似是通过小额贷款平台、P2P融资平台，甚至是“钓鱼”网站，客户主动泄露了信息。

作为应对措施，他提到，农行会帮用户做预警，比如主动给客户发短信，提示他们信息泄露了，建议他们改密码，在一定程度上加强对客户的隐私教育。

金融数据能力等级认证正在积极筹备中

近年来，金融数据呈现爆发式增长，种类也变得更加复杂多样，安全风险逐步从机构内部扩大至行业间，对社会民生和国家安全产生了重大影响。在此背景下，切实保障金融数据安全已经成为亟待解决的问题。

北京国家金融科技认证中心安全测评部负责人李凡介绍，据不完全统计，截至去年10月，共开出涉及个人金融信息行为的罚单近200张，处罚金额近两亿元，其中包括数据违规明文存储、数据安全管理粗放、存在数据泄露风险、互联网门户网站泄露敏感信息等违规问题。

金融业数据安全保护存在一些痛点，例如数据类型多、存在形式多样、存储分散；数据泄露路径多；数据保护策略不清晰、保护重点不明确，金融机构也没有制定明确的适用于本机构的数据分级分类标准及相应的保护要求，无法根据数据重要性和数据价值实施重点保护。

为解决上述痛点，金融监管部门陆续出台标准规范。北京国家金融科技认证中心高级审查员唐立军提到，金融行业最早发布的是《个人金融信息保护技术规范》（下称“规范”），主要对标国家标准《信息安全技术 个人信息安全规范》（下称“国标”）。

他指出，两部文件大体上原则相同，都有个人信息全生命周期的保护，但国标里有专门的投诉管理，规范是没有的。在安全制度体系层面，规范比国标更全面、更丰富，它包括制度建立、组织架构、岗位设置、人员管理、安全检测与风险评估、安全事件的处置。

“在金融行标里增加了个人金融信息类别，其次更加注重技术方面的要求，这是两者的差异。”唐立军还提到，国标有个资料型附录，补充了实现个人信息主体自主意愿的具体方法，“非常实用”。

何启翱也认为，数据安全保护需要细化现有制度。“在不同的应用场景下，比如第三方交互、促进，还有很多需要细化的信息。除了国家层面、行业层面，在企业内部也要根据场景和应用方向有一些操作手册。”

在认证方面，唐立军介绍，2020年北京国家金融科技认证中心首次在国推产品认证中增加了个人金融信息保护的内容，今年又在非银行支付机构支付业务设施技术认证和银行清算组织业务设施技术认证中增加了这一内容。

“今年4月份，我们也向金融行业推出了个人金融信息保护能力认证，并且根据前面的国标新发布的行标积极筹备金融数据能力等级认证。”他透露。

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。