随着金融机构开放生态场景建设不断完善,供应链安全成为金融行业网络安全管理面临的新挑战。
近日,国家金融监管总局办公厅印发《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》),近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。监管方面要求金融机构进一步加强供应链安全管理,保障生产稳定运行。
(相关资料图)
这是继2021年末原银保监会下发《银行保险机构信息科技外包风险监管办法》以来,对金融机构外包风险管理提出的又一细化要求。
“既要连接又要安全。”一家金融科技子公司总经理向21世纪经济报道记者表示,目前其所在公司正在研究探讨如何防范供应链网络风险。
金融网络安全风险频发谈及金融机构数字化转型,“开放”“连接”“生态”都是屡被提及的关键词。
然而,当信息系统走向开放,新的网络安全问题也随之产生,针对金融机构的网络攻击频发。
事实上,涉及大量个人客户敏感信息的金融行业一直都是黑客网络攻击的对象。中国信通院发布的《中国网络安全产业研究报告(2022年)》显示,中国网络安全下游客户中金融行业贡献的营收占比为17.4%,在各行业中位居第二。从全球角度来看,据Palo Alto Networks发布的《2022年Unit42事件相应报告》指出,从行业角度来看,在过去一年中金融行业的赎金金额最高,被勒索近800万美元。
在《通知》列出的5起科技外包风险事件中,有3起事件是金融机构由于外部服务商系统或外部工具存在安全漏洞,被黑客攻击导致客户信息泄露,甚至遭遇勒索。
“商业软件投毒的威胁已经是目前金融机构面临的一大挑战。”墨菲安全联合创始人兼COO周欣提到,近两年,对商业软件有意识的投毒行为呈现出较为明显的上升趋势,由于商业利益,金融机构也是黑产较易发生软件投毒的领域,金融行业亟需提升对软件投毒的警惕性。
供应链安全管理新挑战监管对金融机构信息安全与外包风险管理早有要求,而如今,金融机构正面临供应链安全管理的新挑战。
21世纪经济报道记者从业内人士处了解到,2021年,原银保监会曾下发《关于供应链安全风险提示的函(银保监统信函[2021]371号)》,对银行网络供应链安全管理作出规范。到2021年12月30日,原银保监会又下发《银行保险机构信息科技外包风险监管办法》,要求机构建立起外包管理体系,并强化相关主体责任。
“去年年初银保监会这个文件出台后,我们内部也出台了相关办法加强对外包风险管理,但侧重点有所不同。”某金融机构的科技子公司总经理告诉记者,2021年末的文件主要是针对外包供应商的资质、合同等流程与机制作出管理要求,其所有的科技外包合同都要向监管报备,但本次《通知》出现的网络风险是安全运营层面的,考验的是机构对网络攻击防范、灾难恢复以及与供应链有效隔离的能力。他提到,其所在单位正在研究防范供应链网络风险,特别是与其有合作、有连接的供应商,由于自身安全问题给金融机构带来的风险。
“金融机构现在风险接触面明显增大。”周欣告诉记者,过去金融机构的系统是相对封闭的,且软件、数据大多在B端层面流动,但近年来,随着金融机构业务能力的包装,他们的B端合作伙伴,例如互联网公司却是需要对外暴露自身的接口甚至代码,与此同时金融机构在面向C端用户下沉时,如移动端代码等系统信息也暴露给了C端用户,风险接触面的扩大加大了安全问题出现的可能。
另一个问题是供应链软件的引入规模增大。周欣提到,过去金融机构的软件大部分是自行研发的,随着业务需求与应用场景的复杂化,金融机构采购商业软件、外包开发、调用第三方开源软件愈加频繁,软件供应链规模不断增大,且软件间的调用、依赖关系越来越复杂,风险排查的复杂性也随之增大。
同时,很多金融机构在将服务外包出去后,整体验收过程仍是以功能性验收或业务验收为主,对安全的准入标准和验收流程是缺失的,这也导致部分供应商的安全隐患经由供应链带入到金融机构内部。
亟待健全安全管理机制在本次下发的《通知》中提到,4家省联社因托管在某服务商的网银系统存在越权访问漏洞,被不法分子攻破,大量客户信息与账户信息被窃取。
对此,中小金融机构的信息外包风险管理机制不足再次受到业内关注。
安永(中国)企业咨询有限公司大中华区网络安全与隐私保护咨询服务合伙人张伟向记者指出,省联社和保险公司在信息科技外包风险管理方面仍然有待加强。目前我国政策性银行、商业银行普遍建立起信息科技风险管理“三道防线”,信息科技外包也作为信息科技风险的重点领域纳入管理范畴。但是在实践过程中,张伟关注到省联社和保险公司的信息科技风险管理成熟度相较于政策性银行和商业银行仍然存在一定差距,尤其是在信息科技外包风险管理原则的落实、信息科技外包服务事前、事中、事后的风险防控,以及信息科技外包应急处置等方面存在待提升空间。
监管部门在《通知》中指出,目前机构存在的主要风险和问题有三个方面,一是在供应链安全管理上履职不到位,二是对外包服务的应急管理机制不健全,三是外包服务商自身的安全管理和技术防护能力严重不足。
多位来自大型金融机构的受访对象向记者表示,在安全管理机制完备的情况下,能很大程度地避免机构自身带来的网络安全隐患。
某券商科技部门人士告诉记者,在第三方合作协议签订时,其明确要求客户敏感信息做私有化部署,且数据不得用于其他用途。另有某股份制银行科技部门人士介绍,银行作为强监管的行业,在核心业务系统方面大多会要求第三方平台驻场做数据的本地化部署。
“目前各家金融机构对外包风险管理监管力度不均衡。”绿盟科技相关专家告诉记者,当下各家金融机构开展风险评估的外包商范围不同,有的选择性抽查开展,有的全面开展,金融机构对开展信息科技外包活动的重视度不够,金融机构需排查对外包商分类分级的落实情况。
周欣表示,未来供应链风险需要透明管理。“过去软件供应链风险治理是缺乏触发该缺陷场景的检测能力的,即便安全风险有所暴露也难以即时加以触发和检测,如果没能构成安全风险的识别闭环,基本上也意味着安全风险不透明。”周欣指出,要识别出在哪些场景可以触发安全漏洞,则需要对供应商提供的软件进行深层次分析。
绿盟科技相关专家向记者提到,目前部分金融机构相关人员安全意识仍存在不足,他提到,现在的安全管理依旧是割裂的,工具是各部分自用的、大型组织中采购、开发、运维、安全管理团队各自维护着自身的软件资产,无法形成统筹,管理人员与操作人员也不具备相应的安全视角,依旧关注能力效率,不注重安全合规交付。