文 | 張玉潔 戴安琪

來源 | 中國證券報

有人在暗網(wǎng)出售金融機構客戶信息？

社交媒體賬號Bank Security近日發(fā)布消息稱，有數(shù)百萬國內(nèi)銀行客戶的數(shù)據(jù)正在被出售，涉及興業(yè)銀行、上海銀行、浦發(fā)銀行等，相關信息超過百萬條。

來源：推特截圖

這些個人信息包括客戶的姓名、身份證號、手機號碼、存款數(shù)據(jù)、家庭住址以及所辦理的業(yè)務等信息。

事發(fā)后，涉事銀行和金融機構均在第一時間對此事進行了回應。其均表示，數(shù)據(jù)與真實客戶信息要素不匹配，不排除是拼湊、偽造的信息。

多家銀行緊急回應

農(nóng)業(yè)銀行對中證君表示，對于近日網(wǎng)絡上不法分子販賣的所謂“農(nóng)行客戶信息”，經(jīng)認真核查比對，農(nóng)行不存在客戶信息泄露問題。農(nóng)行已向監(jiān)管部門報告有關情況，并準備向公安機關報案。農(nóng)行將積極配合公安部門調(diào)查取證，如有進一步情況，將及時公布。

興業(yè)銀行對中證君回應稱，網(wǎng)絡上的信息不屬實。對于不法分子在暗網(wǎng)上發(fā)帖聲稱可出售所謂的多家銀行客戶信息數(shù)據(jù)，經(jīng)過深入核查比對，確認其中所謂的“興業(yè)銀行信用卡客戶信息”與該行真實的客戶信息要素并不吻合，不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當利益。

浦發(fā)銀行回應，經(jīng)排查比對，網(wǎng)傳數(shù)據(jù)沒有該行客戶賬戶信息，且與該行客戶信息要素不符。不排除不法分子將不明來源數(shù)據(jù)冠以金融機構名義兜售，以牟取非法利益。對于偽冒該行信息、損害該行商譽的不法行為，浦發(fā)銀行表示，將保留追究其法律責任的權利。

中國平安回應稱，經(jīng)排查，相關客戶信息并非公司客戶，系不法分子偽造?！拔覀儗卧觳⒇溬u公民信息的犯罪行為表示嚴厲譴責，呼吁有關執(zhí)法司法部門嚴厲打擊這一違法犯罪行為?！?/span>

上海銀行相關人士回應表示，已對“上海銀行客戶信息”進行比對，發(fā)現(xiàn)其所稱的上海銀行客戶信息中并無該行銀行賬戶信息，且與真實客戶信息關鍵要素并不匹配。上海銀行認定該販賣信息非該行泄露數(shù)據(jù)，不排除系不法分子為牟取不當利益?zhèn)卧?、拼湊、出售所謂銀行的客戶信息。

招行回應稱，經(jīng)比對相關數(shù)據(jù)，網(wǎng)絡信息與該行真實客戶信息并不吻合，信息不屬實。招行譴責任何偽造并販賣公民信息的犯罪行為，并保留追究損害該行聲譽法律責任的權利。

信息從何泄露

一位金融科技工作人士表示：“一般金融機構的數(shù)據(jù)泄露有兩種途徑，一是內(nèi)部員工出賣數(shù)據(jù)，二是黑客入侵數(shù)據(jù)庫?！?/span>

某銀行研究員向記者提到，一般來說，銀行內(nèi)部的客戶信息有十分嚴格的保管及使用規(guī)定，在接觸數(shù)據(jù)時都會留下經(jīng)辦人信息，通過銀行內(nèi)部規(guī)定將信息泄露的口子堵住。

此前，銀保監(jiān)會發(fā)布的《銀行業(yè)金融機構數(shù)據(jù)治理指引》對個人信息安全的保障要求是：“銀行業(yè)金融機構采集、應用數(shù)據(jù)涉及到個人信息的，應遵循國家個人信息保護法律法規(guī)要求，符合與個人信息安全相關的國家標準。”

各銀行也根據(jù)銀保監(jiān)會相關規(guī)定，制定了內(nèi)部管理條例。同時，銀行的內(nèi)網(wǎng)(局部工作網(wǎng)絡)和外網(wǎng)(互聯(lián)網(wǎng))系統(tǒng)嚴格分開，有很強的保密規(guī)則，外網(wǎng)無法使用U盤等設備接入內(nèi)網(wǎng)機，也無法將數(shù)據(jù)上傳至互聯(lián)網(wǎng)。這些措施都在最大程度上防止了數(shù)據(jù)外流，保證數(shù)據(jù)安全。

上海銀行表示，高度重視客戶數(shù)據(jù)安全，已部署多層次網(wǎng)絡安全縱深防御措施，能夠及時發(fā)現(xiàn)、遏制網(wǎng)絡攻擊行為；制定了包括網(wǎng)絡、數(shù)據(jù)、終端、互聯(lián)網(wǎng)出口層面嚴格的管控措施。對于涉及客戶信息的生產(chǎn)網(wǎng)絡，實施封閉式管理；對開發(fā)、測試環(huán)境數(shù)據(jù)實施脫敏處理；對涉及敏感信息的業(yè)務系統(tǒng)，實施下載自動加密的技術；禁止USB口等外設的數(shù)據(jù)輸出；通過技防和人防手段加強員工行為監(jiān)測、管理。

“不過，即便銀行采取了措施，仍然有些數(shù)據(jù)可能泄露。泄露可能發(fā)生在層級相對較高、能接觸到數(shù)據(jù)的管理者層面，他們可以越過部分限制，將數(shù)據(jù)外傳?！庇袠I(yè)內(nèi)人士告訴記者。

數(shù)字化轉型需保證安全

對于金融機構如何防范外部攻擊，上述人士表示，通常會在技術層面采取縮小知悉范圍、設置訪問權限等措施，防范網(wǎng)絡攻擊。

雖然金融機構紛紛加強內(nèi)控和防范外部攻擊，但信息安全好比“貓鼠游戲”，互相較量是一個長期過程。只要通過個人信息牟利的現(xiàn)象存在，個人信息泄露的風險就始終存在。

各大銀行近期發(fā)布的2019年年報均指出，未來將大力推動數(shù)字化轉型，大量個人業(yè)務將遷移至云上或線上進行。雖然提升了業(yè)務效率和便捷程度，但不可避免的是，其信息安全相關風險也相應提升。

某國有大行人士表示，數(shù)字化轉型成為銀行未來發(fā)展的重要路徑之一。但從銀行角度來看，數(shù)字經(jīng)濟發(fā)展有很高的風險，這種風險的形態(tài)和傳統(tǒng)的經(jīng)濟有所不同。數(shù)據(jù)具有天然的流通屬性，受時間、空間的束縛很小，擴張的傾向明顯，數(shù)字經(jīng)濟在不斷擴展生產(chǎn)可能性邊界的同時，也潛藏著特定的風險。銀行內(nèi)部本身有大量的金融交易數(shù)據(jù)，需要特別重視數(shù)據(jù)的安全工作，這其中不僅要保證客戶資金的安全，更要保證客戶數(shù)據(jù)信息的安全。