6月27日,据多家媒体报道,日前国家金融监管管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》)。《通知》称,近期部分银行保险机构的外包服务商发生多起安全⻛险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出⻛险问题。
《通知》主要通报两大风险情况
01 企业微信服务风险:要求报告企业微信合作情况
事件:某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。
《通知》指出:银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。此事件主要暴露两方面的风险和问题:一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。二是银行保险机构对合作中数据安全风险和责任识别划分不清。
《通知》要求:一是开展风险自查。针对相关问题,银行保险机构要全面开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排查整改。在合同协议中强化数据安全要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不能扩大合作范围内容。
二是加强科技风险统筹管理。要将数字生态合作纳入到银行保险机构的外包风险管理范围,加强统筹管理,科技和数据管理部门应加强外包合作的网络和数据安全管理,加强风险评估和事件处置。
三是加强非驻场外包风险监测和监管报告。对于集中处理重要数据和客户个人敏感信息的非驻场外包,以及涉及敏感级及以上数据的委托处理的外包合作,银行保险机构应重点关注,加强风险监测,并按《银行保险机构信息科技外包风险监管办法》第三十七条、《银行保险机构数据安全办法》第六十条之规定,要求银行保险机构应按照监管隶属关系,于7月10日前,将风险自查和整改情况、企业微信合作情况向国家金融监督管理总局或银保监局(分局)报告。银保监局汇总后,于7月20日前报送国家金融监管总局。
02 科技外包风险:外包合作结束后必须删除数据
《通知》主要通报了多家省联社、一家保险公司、某数据中心托管服务商的5个事件情况,具体包括:
事件1:2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。
事件2:某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
事件3:某数据中心托管服务商的客户服务系统存在 SQL 注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条员工个人信息。
事件4:某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。
事件5:2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。
《通知》指出:一是银行保险机构在供应链安全管理上履职不到位;二是银行保险机构对外包服务的应急管理机制不健全;三是外包服务商的安全管理和技术防护能力严重不足。
国家金融监督管理总局表示“银行保险机构应强化‘服务外包、责任不外包’的主体意识,切实承担数据安全主体责任,统筹管理科技⻛险,压实外包服务商安全责任,提升整体防控水平。”,并提出了三方面的监管要求:
一是切实履行网络和数据安全保护义务。银行保险机构应加强⻛险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全⻛险检查,对发生安全生产事件的要按合同约定进行处罚。
二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。梳理外包服务商获取、留存的银行保险机构数据,排查个人信息和程序源代码、系统文档等内部技术资料,排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题,排查系统和外部产品的漏洞,整改问题隐患。
三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理,将涉及外包服务商的投诉纳入投诉管理办法,要求外包服务商第一时间报告自身的安全生产事件和投诉举报,报告其产品或服务发现的安全缺陷和漏洞,银行保险机构应将相关风险事件及时报告监管部门,并及时调查处置相关问题。
原点安全建议
01 实践思路
实施全链路的敏感数据访问审计
银行保险机构在外采第三方科技服务业务时,应注意选择能够全面记录敏感数据访问审计功能的产品和服务商,如全面记录数据访问路径和敏感数据上下文信息,动态构建由业务用户、业务应用、API 路径、原点用户、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的流转轨迹,同时可呈现位置、时间、次数等关联信息。基于链路节点和上下文信息自定义敏感数据访问的监督看板,提升事中监督和事后溯源效能。
建立灵活的最小权限管控机制
银行保险机构在对外提供数据、梳理外包服务商获取、留存的银行保险机构数据时,应选择支持实现数据访问控制、数据自助授权、数据动态脱敏、数据流转轨迹、数据安全审计等诸多功能的一体化产品与服务。例如能够自定义配置并执行访问控制策略, 能够允许、拒绝或告警特定用户对特定数据集的访问;能够通过访问权限自动化配置,实现审批即授权、承诺即授权。此外,能够按照应用场景配置脱敏算法和脱敏规则组合,根据不同条件配置数据交付策略;无需进行业务改造即可实现应用前端展示的敏感数据动态脱敏。
采用数据安全策略一体化架构
传统的数据安全产品往往是单点能力,多种产品组合方案提供的数据安全策略往往被割裂为不同数据安全产品上配置的多个不同策略,例如数据库防火墙中的访问控制策略、数据脱敏产品中的脱敏策略等等。银行保险机构应注意选择能够将这些安全策略整合为统一的数据安全策略的产品,通过配置统一的数据集合、数据交付策略、数据访问策略达到对不同数据源的统一安全管控,降低数据安全风险范围。
02 关键举措
提升多租户模式数据安全管理能力
建议金融机构通过多租户模式数据安全管理能力为外包服务商赋能,外包服务商很少有专业的安全能力来保障合作过程持续满足安全合规要求,采用自建的方式不但提高外包合作成本,同时短期也无法达到预期的安全合规效果。通过采用云原生框架并支持多租户的一体化数据安全平台,为不同的外包服务商开通租户环境,从而降低外包服务商拥有安全产品能力的门槛。再配合安全厂商提供的云托管服务,进一步降低外包服务商拥有安全运维能力的门槛。最重要的是,租户环境天然满足安全管理责任隔离的同时,云托管服务使外包快速达到安全合规所必需的数据安全保障水平。
采用更为整体的数据安全管理平台
建议金融机构使用一体化的数据安全管理平台,来履行外包服务商的代监管义务。通过外包服务商的审计数据汇总,一体化的数据安全平台能够从敏感数据发现、识别、保护、监督到识别的一体化协同技术保护措施,可以统一分析潜在敏感数据泄露风险,以及数据盗用滥用风险。
完善外包合作框架协议
金融监管总局对银行保险机构提出了明确的责任要求,要求金融机构承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,确保委托处理的数据受加密或脱敏保护,确保受托方的数据采集与处理行为被审计,但是未对外包服务商提出明确责任要求。需要金融机构与外采科技服务供应商在合作框架中明确权责边界。例如外包服务商有责向金融机构上报委托处理的完整数据资产,并且外包服务商有责任确保监控探针与安全控制器的正确部署与稳定运行等等。