近年来,随着区块链、大数据、云计算等新兴科技的广泛发展与应用,给客户带来了无限便捷的可能,但同时也给不法分子提供了可乘之机,其潜在的信息泄漏风险也日益加大。据Verizon《2018年数据泄漏调查报告》显示,当年共发生2216起數据泄漏事件,其中金融数据泄露占比15%,金融信息泄露已成为影响全球金融稳定的重要威胁。为此,本文针对2018年以来国外金融领域信息泄漏案件的主要特点及问题成因并对我国加强金融信息保护提出相关建议。
一、国外金融信息泄露的典型案例
(一)因业务系统缺陷而引发信息泄露。如,美国金融服务巨头Capital One在2018年3月泄漏近50.4GB个人及企业数据,其主要原因是其服务供应商Birst公司设在云安全厂商UpGuard公司的Amazon Web Services(简称AWS)S3存储桶未受保护;美国马里兰联合保险协会(MDJIA)在2018年1月19日因一个内含IT运营重要敏感数据的联网存储设备(NAS)通过开放端口与互联网连接,导致数千客户信息被泄漏到网上;著名跨境支付平台PayPal旗下移动支付服务程序Venmo app默认公开用户交易信息,引发数据安全问题,2018年7月某用户通过这一隐私策略查询Venmo API并下载了该公司所有2017年的公开交易记录,总计2.08亿条。
(二)因遭受网络攻击而引发信息泄露。如,2018年4月美国航空公司Delta及零售百货公司Sears先后遭遇黑客入侵,导致数十万名客户的信用卡资料被曝光;2018年5月,加拿大蒙特利尔银行(Bank of Montreal)和网上银行Simplii Financial均发表声明称遭到黑客勒索,入侵黑客警告称已经访问了近9万名客户的账户及相关个人信息,这是加拿大金融系统近年来遭受最大规模的网络攻击;2018年7月,智利政府发布消息称,某黑客盗取了智利约1.4万张信用卡的资料,并将客户信用卡卡号、有效期限及安全码等个人资料公布在社交媒体上,受攻击影响的银行包括桑坦德银行(Santander)、伊塔乌银行(Itau)、丰业银行(Scotiabank)和智利银行(Banco de Chile)等大型商业银行。
(三)因金融机构内部管理制度失效引发信息泄露。如,2018年5月,澳大利亚第一大商业银行——澳大利亚联邦银行证实,其包含客户姓名、地址、账号和2000年至2016年的交易详情记录的两个存储磁带,在一次数据中心转运任务中被其分包商Fuji-Xerox丢失,其中至少存储有1200万名用户的银行交易数据,并难以寻回;2018年4月,美国Sun Trust银行表示,一名离职员工通过与第三方合作对公司的客户联系人名单进行了盗窃,名单包含的客户个人信息包括客户的姓名、地址、电话号码以及某些账户余额等,超过150万名客户的个人信息可能已经因此遭到泄露。
二、国外金融信息泄露案件成因
(一)行业监管不力,法律约束力不强。当前世界各国对出现的金融信息泄露事件尚缺乏统一的金融监管标准和对接机制,可以参考依据的法律法规不足,面对重大金融信息泄露案件时监管往往处于滞后和被动地位,既无法通过有效的监管倒逼机制督促金融机构及时化解风险、消除影响;也无法对事件相关责任人进行严格的责任处罚,以对窃密行为形成强有力的震慑,“高收益低风险”的特征一定程度上助长了境内外黑客对金融系统的攻击行为。
(二)科技力量薄弱,缺乏及时响应能力。从国际金融科技发展的大环境看,金融系统的科技运用及维护能力普遍弱于第三方开发公司,在金融机构与第三方公司的合作过程中,因金融机构软硬件系统老化、漏洞、缺陷等原因,系统建设存在漏洞的概率较高。同时,金融机构的信息专业人才较为匮乏,面对黑客攻击时,在安全策略调整、信息泄露预警、应对措施和应急流程等方面难以有效应对,导致风险事件迅速扩大,酿成严重损失。
(三)内部管理失位,风险防控意识较差。金融机构对金融信息的安全管理意识尚处于浅层和表面,对不同业务部门之间的信息安全协同机制构建、一线操作人员的信息安全培训重视程度不够,导致出现内部员工监守自盗或失密泄密等严重操作风险。
三、对我国的几点启示
一是健全完善监管制度,加大违法惩戒力度。建议针对金融科技领域制定专项信息保护法,引导金融机构切实加强对员工的信息安全培训,同时监管机构要建立专业的金融科技工作监测队伍,对引发金融泄密事件的相关失责人员,实行定格处罚制度,防止金融机构内部员工故意泄露信息牟利。
二是加快金融信息化标准建设。建议由国家有关部委牵头建设统一的认证和数字识别中心,为各种金融信息活动提供相应规范,进一步提高金融信息标准化管理。
三是提高相关系统的安全等级。金融机构要定期对系统进行升级,加强软硬科学技术的综合运用,不同金融机构可组织开展系统攻防演练,在实践中发现漏洞并对其进行完善。
四是加大宣传力度,建立应急预警机制。多渠道、全方位开展金融信息知识普及活动,提高人民群众的金融信息保护意识。金融机构要建立健全应急预警机制,确保在发生信息泄露案件时,第一时间快速响应,尽快将负面影响降到最低。
(作者单位:中国人民银行五台县支行)
