據(jù)韓國金融監(jiān)督院1月21日證實,韓國國民銀行和農(nóng)協(xié)銀行等多家大型商業(yè)銀行的大量用戶信息遭泄露�,內(nèi)容涉及手機號碼�����、個人地址、信用卡賬號乃至部分銀行交易記錄等����。
由于此次外泄的個人信息異常詳細�,對隨之而來可能引發(fā)各種金融詐騙的擔憂已迫使韓國民眾蜂擁”銷戶,迄今已有超過115萬用戶辦理銀行卡的停用���、注銷或重辦業(yè)務(wù)。該事件為我國銀行業(yè)敲響了警種�。
隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展�����,金融信息系統(tǒng)內(nèi)部采集���、存儲�����、傳輸、處理的信息量越來越大�����,信息的重要程度也越來越高���。近年來��,各銀行信息安全事件頻發(fā)���。眾多泄密事件對企業(yè)的負面影響是深遠的�,所造成的經(jīng)濟損失和帶來的影響是不可挽回的。
目前����,銀行面臨的數(shù)據(jù)安全風險主要來自:一是項目外包風險���。為了滿足業(yè)務(wù)部門與日俱增的IT需求��、縮短產(chǎn)品研發(fā)周期,銀行很多信息系統(tǒng)引入了IT外包模式����。但是��,由于IT外包服務(wù)商的服務(wù)水平良莠不齊�����,如果我們對IT外包服務(wù)商的行為控制不嚴格�,或IT外包服務(wù)商法律意識淡薄����、內(nèi)控不嚴而導(dǎo)致數(shù)據(jù)泄密�����,銀行就可能面臨因數(shù)據(jù)泄密而帶來巨大的信譽風險和法律風險���。二是系統(tǒng)開發(fā)與測試風險。當銀行信息系統(tǒng)進入開發(fā)階段����,必須要將一些基礎(chǔ)數(shù)據(jù)導(dǎo)入開發(fā)或測試環(huán)境以進行數(shù)據(jù)分析和開發(fā)測試���,如果將未經(jīng)脫敏處理的生產(chǎn)數(shù)據(jù)直接導(dǎo)入開發(fā)�����、測試環(huán)境,勢必增加數(shù)據(jù)泄密的風險指數(shù)��。三是數(shù)據(jù)查詢與調(diào)閱風險�。數(shù)據(jù)查詢統(tǒng)計是銀行科技部門的基本職責之一�����。對外,銀行除了向當?shù)厝嗣胥y行進行數(shù)據(jù)報送外�����,還要在特定條件下為公���、檢、法等司法機構(gòu)提供客戶的實時生產(chǎn)賬務(wù)信息查詢��;對內(nèi)����,銀行要滿足業(yè)務(wù)部門各類業(yè)務(wù)指標的查詢統(tǒng)計需求����。這些工作都要經(jīng)過數(shù)據(jù)的產(chǎn)生����、導(dǎo)出�����、交接���、保存等工序����,任何一個環(huán)節(jié)出現(xiàn)紕漏���,都可能引發(fā)數(shù)據(jù)泄密。四是員工自身道德風險�。不排除個別內(nèi)部員工法制觀念淡薄���、道德防線脆弱,在利益的驅(qū)使下����,利用職務(wù)之便搜集客戶的銀行卡號�����、姓名、金額�����、聯(lián)系方式等大量敏感信息���,并向不法分子兜售;或者在離職的時候帶走銀行重要客戶的資料���,這些都有可能造成銀行重要數(shù)據(jù)的泄密,甚至引發(fā)法律風險����。
鑒于此��,建議銀行及早采取有效的防控手段�����,避免敏感信息泄露。目前��,若僅從規(guī)章制度進行安全要求已經(jīng)不能控制風險����,急需可行的技術(shù)方案進行主動控制。傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品如防火墻��、IDS和漏洞掃描等�,僅能解決信息安全部分問題�����,對于類似內(nèi)部用戶主動或被動泄露敏感信息等事件,成效不大����。為了更好地防止銀行數(shù)據(jù)泄密��,解決數(shù)據(jù)安全傳遞問題��,建議引入數(shù)據(jù)安全防泄密產(chǎn)品�����,搭建數(shù)據(jù)安全防泄密系統(tǒng)����。從便攜電腦�、移動存儲介質(zhì)��、信息共享、網(wǎng)絡(luò)安全�����、桌面安全����、安全審計等全方位的技術(shù)防范角度�����,來確保銀行涉密信息系統(tǒng)安全保密技術(shù)防范措施的有效落實
