数字化转型趋势下,银行业不仅持续发挥关键基础设施属性作用、保障国家与社会生活的正常运转,同时也在加速融合AI、云计算、大数据等先进技术实践,数据信息要素的核心地位得到强化,同时对于安全的重要性持续提升。
2023年全年,原银保监会、金融监管总局及其派出机构共披露5184张罚单,涉及1117家银行业机构,罚单总金额为258730万元。综合来看,监管机构的监管制度持续完善、监管力度持续加强,监管机构在员工行为及案件管理、消费者权益保护、数据质量与数据安全、理财业务合规管理等领域,因新兴风险的产生而加大关注力度。
在高标准、强监管的行业要求下,银行业进一步加强数字化信息化建设,提高信息安全风险治理与管控水位。
2023年银行依托先进网络安全技术推动银行网络安全建设,加强消费者权益保护正当其时。国家计算机网络应急技术处理协调中心(CNCERT)网络安全应急服务支撑单位梆梆安全表示,近年来银行业务线上化程度不断提升,传统“存、贷、汇”业务出现了诸多服务模式与运营方式的革新,但由于数字银行涉及多个参与主体,风险敞口较多、风险管控链条较长,新的安全风险如API漏洞、数据泄露、电信诈骗、虚假APP等逐渐凸显,新的攻击技术如大模型技术、人脸识别攻击等也为银行业务安全带来潜在不确定性。未来,完善基于细分场景的安全前哨技术方案、推动建立行业规范,是银行业信息安全建设的重要内容。
FreeBuf咨询在银行业关基属性、科技属性、安全属性内在融合的基础上,从银行业的外在业务监管与合规要求出发,编制了《2023银行业信息安全分析报告》,对2023年银行业安全监管情况、监管政策、安全事件等进行分析,结合安全行业对银行信息安全建设的认识,提出了相关对策和建议。
1. 银行业安全监管处罚总体情况
2023年原银保监会、金融监管总局及其派出机构共披露5184张罚单,涉及1117家银行业机构,罚单总金额为25亿8730万元,全年各季度罚款金额及罚单数量较2022年均有所上升,其中第四季度上升幅度最大,罚单数量上升76%,罚款金额上升228%。在处罚类型上,主要涉及罚款及(或)没收、警告、禁止从事银行业、责令改正、取消任职资格、吊销金融许可证六类。
表:2023年银行业监管处罚情况一览
从季度处罚趋势来看,罚款金额和罚单数量在第四季度达到全年峰值在第二季度为全年最低。2023年各季度罚款金额及罚单数量较2022年均有所上升,其中第四季度上升幅度最大,罚单数量上升76%,罚款金额上升228%。
从处罚对象来看,2023年度个人罚款在前三季度呈现上升趋势,第四季度略有下降;公司罚款在第二、三季度下降,在第四季度有所上升。
从重点业务领域及管理环节看,数据治理领域的罚款金额占比为7%,位居本监督罚款金额排名第二位,罚单数量排名第三位具体处罚事由包括财务/业务数据不真实、EAST报送数据质量不合规、数据治理不到位等。银行机构在关注信贷业务合规性的同时,也应加强数据治理,重视数据质量和数据价值实现,严格遵守监管要求。提高报送数据的真实性、准确性、连续性、完整性和及时性,发挥数据资料的统计价值。
在数据治理领域,以“数据合规”为关键词分析,银行业处罚原因以数据收集、存储、使用和查询为主。2023年,银行业在数据使用方面收到最多罚单,为86张,涉及81家机构,20551万元金额。2023年银行业在数据使用方面的处罚金额较2022年增加超过100%,应当引起重视。
2. 银行业安全处罚事件的地域分析
从披露罚单的监管部门所处区域来看,处罚总金额处于全国前四位的地区,分别为浙江省、山东省、上海市和福建省。从处罚事由来看,“违规发放/审批贷款”是前四地域共同的处罚事由,同时也是金融监管总局上海监管局及原银保监分局出具罚单最多的事由;“贷款‘三查’不尽职”是金融监管总局浙江监管局、福建监管局及原银保监分局出具罚单数量最多的事由,而“贷后管理不到位”则是金融监管总局山东监管局及原银保监分局2023年度关注重点。
表:2023年全年受到处罚总金额全国排名前四的地区
3. 银行业信息安全监管处罚分析
随着《网络安全法》《数据安全法》《个人信息保护法》等数据安全、个人信息保护相关法律法规的日趋完善,银行业监管机构亦密集出台了一系列行业个人信息保护、数据安全相关的指导文件与实施标准。与此同时,行业监管机构对商业银行违规处理个人信息行为的处罚愈加严厉。从具体处罚案由来看,相关信息安全的监管处罚既有金融消费者信息管理机制建设,也涉及侵犯金融消费者个人信息的具体行为,包括“提供个人不良信息,未告知信息主体本人”“未按规定查询个人信息”“未按规定保存客户信息”等。
此外,近两年监管机构陆续发布了EAST5.0、监管统计管理办法等重要行业标准与指引要求,数据相关罚单也频频发出。以EAST5.0为例,在金融监管总局发布的报送要求中,涵盖了3,283条检核规则,其中绝大部分都适用于源头明细数据质量管控。早期以监管检查发现的数据质量问题出发,“头痛医头,脚痛医脚”的监管数据治理策略已无法满足当前要求,实现数据质量管控前置,建立覆盖事前、事中、事后的全流程监管数据质量监测,推动监管数据源头治理,成为众多商业银行的新课题。
4. 网络安全政策和安全事件驱动
2023年全年,从机构设置到行业自律规范等文件出台,针对银行业信息安全相关的政策调整和新增就有多项举措。在机构方面,十四届全国人大一次会议表决通过了关于国务院机构改革方案的决定,增设国家数据局与国家金融监督管理总局。
在法规文件方面,先后制定并出台《银行业金融机构函证业务自律管理规范》《银行业金融机构网页模式接入第三方函证平台管理规则》《银行业金融机构接入第三方函证平台风险评估工作管理办法》等多份法规文件,对于银行业信息安全发展提出新的要求。
银行业信息安全发展态势同样严峻,2023年,全球发生了多起涉及银行信息安全的风险事件,比如印度ICICI银行由于系统配置错误导致360万敏感数据的泄露;国内吉林银行、宁波鄞州农商银行、兰州银行等多家银行系App因“违规收集个人信息”和“强制、频繁、过度索要权限”等行为被通报。
此外,2023年全球监测到多款流行的银行木马,包括Spynote,Anatsa、Chaes和TrickMo。这些木马能够冒充众多知名金融机构,利用系统漏洞通过键盘记录功能等方式窃取银行凭据。同时,这些木马还具有多个变种版本,不断更新功能增强攻击效率并逃避检测。
5.银行业发展与建议
FreeBuf咨询建议银行以数据安全为核心,实现管理制度和技术体系全面变革。为应对实际挑战,银行等安全建设需求方和第三方安全技术服务方,可从管理制度和技术体系两方面综合施策。
梆梆安全:服务+工具助力金融企业应对监管挑战
梆梆安全凭借在软件安全领域的丰富实践经验,在APP和小程序的个人隐私安全、大数据安全共享及企业数据安全治理等方面制定了完善的产品及解决方案,能够对应用的合规情况、动态行为、软件成分、安全漏洞进行采集与分析,通过服务与工具相结合的方式,帮助银行在上线前发现应用违规行为并输出合规评估报告,协助安全合规部门推动隐私合规整改工作,保障应用上架后符合监管单位/机构的相关要求,更好维护用户合法权益,推动行业高质量发展。
此外,梆梆安全结合近年来对屏幕共享+人脸识别信息泄露等安全事件的实践,已实现对安全风险的监测并将其落地,推出人脸识别专项安全评估、APP安全加固+通信协议保护SDK+安全键盘SDK、移动应用安全监测平台在内的人脸识别业务安全防护解决方案。
瑞数信息:API整体安全解决方案
瑞数信息与银行合作,充分了解银行已建立相对健全有效的安全机制,但是API安全现状仍存痛点的现实,通过采用瑞数API整体安全解决方案,实现事前扫描、事中防护、事后审计,在新业务上线前根据API扫描报告发现API接口存在安全风险问题,及时整改优化后上线。通过流量审计和主动扫描相结合,对行内已上线的业务系统进行API资产台账整理。
瑞数API整体安全解决方案可提供便捷、弹性、安全、合规的系统架构,适合银行作为安全运营平台的数据分析底座和能力插件快速搭建API安管平台,已成功在银行业落地实践。
总结
数字化转型趋势下,银行业面临着越来越严峻的安全挑战,监管机构持续加强监管力度,对银行业的安全合规要求越发严格,罚单数量和金额均呈上升趋势,数据治理领域成为重点监管对象,数据安全、个人信息保护等方面的处罚案件也逐渐增多。
对此,报告在复盘2023年银行业安全监管处罚情况的基础上,总结分析全年两项涉及银行业信息安全的重大机构设置与改革、多份相关法规及行业自律文件,旨在提升安全水位的同时抵抗更加复杂多样的网络安全威胁。
报告建议银行以数据安全为核心,与第三方安全技术服务方合作,实现管理制度和技术体系全面变革。目前在相关小程序及APP数据合规、隐私防泄露,API整体安全体系建设上均有较为成熟的落地实践,为银行业积极顺应监管要求变化、加强安全意识和技术应用、不断提升信息安全水平、确保业务的稳健发展和用户信息的安全保护提供了保障。
关于FreeBuf咨询
FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告:行业研究报告、能力评估报告、产品研究报告以及甲方定制化报告。
FreeBuf咨询自成立以来,已积累了1500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。
如有疑问,请联系 FreeBuf 咨询 杨先生:
邮箱: yuxiang.yang@tophant.com