原标题:魔方安全专项服务解决方案:关于加强第三方合作中网络和数据安全管理的通知
最近,国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“通知”)。通知旨在规范金融机构与别的企业或个人在第三方合作中涉及的网络和数据安全问题,确保金融信息安全。
随着《通知》的下发,银行、保险机构将按照监管指示,在科技外包服务、技术合作等方面展开一轮详细的风险自查,而存在很明显问题的机构更是要进行不留死角的整改。
背景:近期部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
事件描述:部分银行的外包服务商的安全风险事件——数据存储不当、系统访问漏洞、安全措施漏洞、前端显示漏洞等引发的风险事件,主要通报了以下安全风险事件:
2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。
某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
某数据中心托管服务商的客户服务系统存在 SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,这中间还包括70余家银行保险机构的数百条员工个人信息。
某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。
2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。
《通知》要求,针对以上问题,银行保险机构要开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展摸排整改。在合同协议中强化数据安全要求,对于存在违反相关规定的行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不能扩大合作范围内容。
根据《通知》,银行保险机构应按照监管隶属关系,于7月10日前,将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局(分局)报告。银保监局汇总后,于7月20日前报送国家金融监管总局。
国家金融监督管理总局提出了三方面的监督管理要求,其中涉及到外包服务商安全保护的方法部分:
。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。
,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。
3、梳理外包服务商获取、留存的银行保险机构数据,排查个人隐私信息和程序源代码、系统文档等内部技术资料,排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题,
基于用户更好的提供的关键字或关键字组合,通过自研监控引擎及第三方数据集成,智能生成监控字典,对开源社区,网盘文库,暗网交易买卖平台进行全面监控,快速发现到企业泄露的信息或文档,并协助用户下架闭环,实现数字泄露的主动检测、实时预警,减少企业损失。