天天要闻:既要连接又要安全,金融机构迎供应链安全管理新挑战
21世纪经济报道记者李览青、吴立洋 上海报道
(相关资料图)
随着金融机构开放生态场景建设不断完善,供应链安全成为金融行业网络安全管理面临的新挑战。
近日,国家金融监管总局办公厅印发《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“《通知》”),近期,部分银行保险机构的外包服务商发生多起安全?险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出?险问题。监管方面要求金融机构进一步加强供应链安全管理,保障生产稳定运行。
这是继2021年末原银保监会下发《银行保险机构信息科技外包风险监管办法》以来,对金融机构外包风险管理提出的又一细化要求。
“既要连接又要安全。”一家金融科技子公司总经理向21世纪经济报道记者表示,目前其所在公司正在研究探讨如何防范供应链网络风险。
金融网络安全风险频发
谈及金融机构数字化转型,“开放”、“连接”、“生态”都是屡被提及的关键词。
然而,当信息系统走向开放,新的网络安全问题也随之产生,针对金融机构的网络攻击频发。
事实上,涉及大量个人客户敏感信息的金融行业一直都是黑客网络攻击的对象。中国信通院发布的《中国网络安全产业研究报告(2022年)》显示,中国网络安全下游客户中金融行业贡献的营收占比为17.4%,在各行业中位居第二。从全球角度来看,据Palo Alto Networks发布的《2022年Unit42事件相应报告》指出,从行业角度来看,在过去一年中金融行业的赎金金额最高,被勒索近800万美元。
在《通知》列出的5起科技外包风险事件中,有3起事件是金融机构由于外部服务商系统或外部工具存在安全漏洞,被黑客攻击导致客户信息泄露,甚至遭遇勒索。
“商业软件投毒的威胁已经是目前金融机构面临的一大挑战。”墨菲安全联合创始人兼COO周欣提到,近两年,对商业软件有意识的投毒行为出现较为明显的上升趋势,由于商业利益,金融机构也是黑产较易发生软件投毒的领域,金融行业亟需提升对软件投毒的警惕性。
供应链安全管理新挑战
监管对金融机构信息安全与外包风险管理早有要求,而如今,金融机构正面临供应链安全管理的新挑战。
21世纪经济报道记者从业内人士处了解到,2021年,原银保监会曾下发《关于供应链安全风险提示的函(银保监统信函[2021]371号)》,对银行网络供应链安全管理作出规范。到2021年12月30日,原银保监会又下发《银行保险机构信息科技外包风险监管办法》,要求机构建立起外包管理体系,并强化相关主体责任。
“去年年初银保监会这个文件出台后,我们内部也出台了相关办法加强对外包风险管理,但侧重点有所不同。”某金融机构的科技子公司总经理告诉记者,2021年末的文件主要是针对外包供应商的资质、合同等流程与机制作出管理要求,其所有的科技外包合同都要向监管报备,但本次《通知》出现的网络风险是安全运营层面的,考验的是机构对网络攻击防范、灾难恢复以及与供应链有效隔离的能力。他提到,其所在单位正在研究防范供应链网络风险,特别是与其有合作、有连接的供应商,由于自身安全问题给金融机构带来的风险。
“金融机构现在风险接触面明显增大。”周欣告诉记者,过去金融机构的系统是相对封闭的,且软件、数据大多在B端层面流动,但近年来,随着金融机构业务能力的包装,他们的B端合作伙伴,例如互联网公司却是需要对外暴露自身的接口甚至代码,与此同时金融机构在面向C端用户下沉时,如APP客户端代码等系统信息也暴露给了终端用户,风险接触面的扩大加大了安全问题出现的可能。
另一个问题是供应链软件的引入规模增大。周欣提到,过去金融机构的软件大部分是自行研发的,随着业务需求与应用场景的复杂化,金融机构采购、外包、调用第三方开源软件愈加频繁,软件供应链规模不断增大,且软件间的嵌套、依赖关系越来越复杂,风险排查的复杂性也随之增大。同时,很多金融机构在将服务外包出去后,整体验收过程仍是以功能性验收或业务验收为主,对安全的准入标准和验收流程是缺失的,这也导致部分供应商的安全隐患经由供应链带入到金融机构内部。
亟待健全安全管理机制
在本次下发的《通知》中,4家省联社因托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息与账户信息被窃取。
对此,中小金融机构的信息外包风险管理机制不足再次受到业内关注。
安永(中国)企业咨询有限公司大中华区网络安全与隐私保护咨询服务合伙人张伟向记者指出,省联社和保险公司在信息科技外包风险管理方面仍然有待加强。目前我国政策性银行、商业银行普遍建立起信息科技风险管理“三道防线”,信息科技外包也作为信息科技风险的重点领域纳入管理范畴。但是在实践过程中,张伟关注到省联社和保险公司的信息科技风险管理成熟度相较于政策性银行和商业银行仍然存在一定差距,尤其是在信息科技外包风险管理原则的落实、信息科技外包服务事前、事中、事后的风险防控,以及信息科技外包应急处置等方面存在待提升空间。
监管部门在《通知》中指出,目前机构存在的主要风险和问题有三个方面,一是在供应链安全管理上履职不到位,二是对外包服务的应急管理机制不健全,三是外包服务商自身的安全管理和技术防护能力严重不足。
多位来自大型金融机构的受访对象向记者表示,在安全管理机制完备的情况下,能很大程度地避免机构自身带来的网络安全隐患。
某券商科技部门人士告诉记者,在第三方合作协议签订时,其明确要求客户敏感信息做私有化部署,且数据不得用于其他用途。另有某股份制银行科技部门人士介绍,银行作为强监管的行业,在核心业务系统方面大多会要求第三方平台驻场做数据的本地化部署。
“目前各家金融机构对外包风险管理监管力度不均衡。”绿盟科技相关专家告诉记者,当下各家金融机构开展风险评估的外包商范围不同,有的选择性抽查开展,有的全面开展,金融机构对开展信息科技外包活动的重视度不够,金融机构需排查对外包商分类分级的落实情况。
周欣表示,未来供应链风险需要透明管理。“过去软件供应链风险治理是缺乏触发该缺陷场景的检测能力的,即便安全风险有所暴露也难以即时加触发和检测,如果没能构成安全风险的识别闭环,基本上也意味着安全风险不透明。”周欣指出,要识别出在哪些场景可以触发安全漏洞,则需要对供应商提供的软件进行深层次分析。
绿盟科技相关专家向记者提到,目前部分金融机构相关人员安全意识仍存在不足,他提到,现在的安全管理依旧是割裂的,工具是各部分自用的、大型组织中采购、开发、运维、安全管理团队各自维护着自身的软件资产,无法形成统筹,管理人员与操作人员也不具备相应的安全视角,依旧关注能力效率,不注重安全合规交付。
标签:
推荐文章
- 天天要闻:既要连接又要安全,金融机构迎供应链安全管理新挑战
- 环球热点评!谷歌Chrome浏览器现在可让您预览页面而无需始终打开新标签页
- 游戏AI重磅工具来了!Unity AI新品赋能开发者生态 已有A股游戏公司布局“AI+UGC”-今日报
- 当前简讯:深圳新湖开展“黑煤气”专项执法行动 守护群众用气安全
- 报告显示美国超2000亿美元新冠救济金被浪费|环球热讯
- 全球即时看!精达股份最新公告:控股子公司恒丰特导拟 IPO 并在北交所上市申请获得受理
- 宁波公积金2023年调整缴存基数及比例一览 新缴存基数上限是多少? 最新资讯
- 岳小忧来了!岳阳首个数字人正式上线|动态
- 粽子包法步骤简单(粽子包法步骤)
- 记者:西汉姆等待曼城对赖斯的新报价,一边和阿森纳谈付款方式
- 离婚财产车辆如何分_全球微动态
- 烽火电子(000561)6月28日主力资金净买入6804.99万元
- “当时不知道那是谎言”,克里如此为入侵伊拉克辩解
- 处理土地纠纷的必要法律步骤 热闻
- 焊工证哪里办?_焊工证在哪里办理的|焦点日报
- 暴躁老太飞机换座遭拒,狂飙脏话,直言下飞机就揍女生一顿
- 预任班长骨干培训|抓实“四个环节” 助推培训效果走深走实
- 菜头粿的做法50字_菜头粿的做法
- 国家税务总局伊春市乌翠区税务局:“漏斗式分流”提升服务
- 2023年各地中考透露出哪些“风向标”
- 世界今亮点!嘉艺控股(01025)拟折让16.48%配售股份净筹最多6200万港元
- 常州政协提案与公益诉讼检察建议“ 双向衔接转化”工作机制已实现全覆盖 热点评
- “担当资规”抓实耕地保护——“益阳市‘六个资规’促高质量发展”系列之三 当前时讯
- 单位食堂会计做账分录(单位食堂买菜怎么做账)
- 刘颖实地调研“人人持证、技能河南”建设工作
- 金隅集团(601992):6月27日北向资金增持362.63万股|焦点速看
- 合理膳食是指什么什么什么的膳食_合理膳食是指什么
- 安全意识与安全文化建设培训内容(企业安全文化建设内容包括哪些方面)
- “推动高质量发展·全媒体记者大型蹲点调研采访系列报道”之七:乡村振兴 有“李”真甜——镇宁自治县蜂糖李产业高质量发展调查
- 今日热讯:魔兽全职者仙界纵横txt下载_魔兽全职者仙界纵横
- 哈哩哈哩动漫官方网站 哈哩 速读
- 天天微头条丨任性贷有额度6000借不出?_当前关注
- 吃避孕药了但是怀孕了还能要么了_吃避孕药了但是怀孕了还能要吗
- 热文:宣化区开展国际禁毒日宣传活动
- 分享西兰花的简单家常做,清淡少油,营养不破坏
- 药师帮:走上医药电商老路-世界今日报
- 288个泊位,100个充电桩!青岛市内首个4星级充电站投入使用
- 日本强推核污水排海计划引质疑 遭本国民众抵制
- 市场日报丨5G崛起,中兴通讯股价创近3年新高;地产产业链全线走强;“中字头”集体拉升;CPO概念加速下行
- 威星智能(002849)6月27日主力资金净卖出2386.52万元
- 世界百事通!《扫毒3》曝预告 古天乐刘青云郭富城搅动金三角
- 动态焦点:完全突破句型掌中宝
- 天天动态:MiiWorld官网在哪下载 最新官方下载安装地址
- 世界头条:亚太实业正筹划“易主” 股票于27日起停牌
- 罗超清头像_罗超视觉
- 通审软件(关于通审软件的基本详情介绍)-全球新消息
- 坚持梦想 不懈努力 “初瑞雪雪大”多年努力换来事业成功
- 焦点热议:虚拟货币交易,照样难逃法网!崂山警方蹲守七昼夜,抓获制贩一条龙毒贩
- 6月27日 11:22分 威海广泰(002111)股价快速拉升
- 观热点:宝冶联营体
- 重启9亿并购,大地海洋铁了心“收破烂”
- 中证鹏元将“瀛通转债”信用评级由AA-调低至A+ 焦点滚动
- 25岁女孩青岛旅游失联后身亡,家属:无暴力外伤
- 艾菲尔 十二星座一周运势2023.6.26-7.2
X 关闭
最新资讯
- 逐一验证!静待高切低!
- 兴民智通(002355.SZ):汽车零部件方向的业务是公司主营业务,占比较大|全球快消息
- 【报资讯】12部门发文:推进体育助力乡村振兴工作
- 岱顶派出所:坚守泰山之巅 保障游客安全_全球头条
- 邪恶学生陈二伊娃的小说
- 全球速讯:以人为鉴可以知得失论语十二章中一曲同工的_以人为鉴可以知得失论语十二章
- 合纵连横财务咨询有限公司(合纵连横)
- 多张图片拼接成一张长图的软件_多张图片拼接成一张大图 环球精选
- 莱斯信息将于6月28日在科创板上市
- 世界视讯!全省首个!泉州这段高速免费!
- 拉夫罗夫:华盛顿强加给世界“基于规则的秩序”仅是确保其利益的机制 要闻
- 专访:世界对中国的发展与机遇充满期待——访世界经济论坛总裁布伦德
- 矩形螺纹标准尺寸_矩形螺纹
- 全球热议:康缘药业:KYS202002A注射液获得美国FDA临床试验批准
- 天天看点:2023郑州大学生免费坐地铁刚毕业可以吗
- 徐州铜山三堡街道:这项便民举措破解了停车难题
- 【新视野】奔朗新材:亮相广州陶瓷工业展 意向订单增幅喜人
- 北京发布高温黄色预警-环球微动态
- 世界视点!快速发展,我国跨境电商年进出口规模首超2万亿元
- 电视剧幸福满屋观看 电视剧幸福满屋-环球动态
- vivo X90s评测:3999元定价下的中杯标杆 世界热讯
- 热头条丨恐怖映像合集(恐怖映像)
- 20号钢化学成分(20号钢) 世界快报
- 注射技巧:怎么样打下巴可以减少栓塞的风险?
- 法新社:B-门迪周一返回英国,出席对他两项性犯罪指控的重审
- 深圳车又卖爆了,大湾区车展成交近100亿;湾区首栋私募证券大厦来啦|深圳特事-环球热讯
- 杭州:网约车须为新出厂的新能源纯电动汽车 或15万元以上的非新能源纯电动源汽车-每日讯息
- 环球热讯:诉前财产保全必备材料清单
- 播报:霍林郭勒到通辽火车通吗
- 当前看点!内蒙古自治区气象台25日15时10分发布大风蓝色预警信号
- 《全国主要城市钢材价格汇总》 全球最新
- 全球百事通!半球电压力锅使用方法图解_电压力锅使用方法图解
- 我的世界服务器1.14.4(我的世界1 4 7服务器)
- 持续降雨!下周桑拿天又要来了......
- “自留地”开出幸福花
- PTA行情周报(6.19-6.25)-焦点关注
- 职场人的眼睛,不能只盯着天上星
- 全省耕地保护十大创新案例出炉,湖南湘江新区入选
- 男生高考查出694分,妈妈激动尖叫发出“海豚音”:每一分都是孩子汗水换的,考多少都满意
- 概念动态|怡和嘉业新增“人民币贬值受益”概念
- 天天快播:事关高考的这些信息别在朋友圈晒
- 某乡镇财政所员工,利用母亲骗取巨额保险,最终受到惩罚
- 全球快看:U19男篮世界杯:中国男篮20分狂输法国开门黑 末节被轰25-9崩盘
- 焦点!boss直聘怎么修改微信号码_微信号码怎么修改有意义
- hp之救世主的执念 求文hp救世主or黑暗公爵TXT
- 文明实践助力乡村振兴!惠民县石庙镇利用红色驿站推动社会治理
- 热门看点:26℃丨货车司机报警求助后失联,警医联动接力救援
- 天天滚动:端午节旅游数据报告:短途自驾游成出行首选 “避暑游”受追捧
- 外访人员上门怎么解决?外访人员上门催收后会做什么?
- 【全球聚看点】销售额同比增长近三成!这个端午节,你漫游南京买买买了吗
X 关闭