汇丰银行数据泄露 金融信息安全亟须升级
郝亚娟、张荣旺
近日,汇丰银行被曝出其客户账户在10月4日至10月14日期间遭到攻击,约1%美国客户的个人信息被泄露。
汇丰银行(中国)独家回复《中国经营报》记者称:“此次数据泄露事件仅与美国有关。同时,汇丰银行通过增强账户登录和身份验证的流程,为所有个人和企业银行账户的数字化服务提供了进一步安全保障。”
随着新一轮科技革命的蓄势待发以及互联网、大数据、云计算、人工智能等新兴技术与金融领域的深入结合,全球银行业对信息技术的应用得到全面提升,信息技术在给银行业务办理和组织运营带来方便和高效的同时,也带来了极大的安全隐患。金融业尤其是银行业所掌握的数据和信息拥有巨大经济价值,使得银行业近年来成为网络攻击的重点目标。
在国内,安全可控的信息技术是银行业发展的一项重要保障。记者了解到,国内商业银行在借助信息技术实现快速发展的过程中,尤其重视客户信息保护,在风控制度与信息科技部门通力配合下,层层把关,确保数据和用户信息的安全可控。
黑客入侵
据外媒报道,11月8日,汇丰银行宣布其客户账户在10月4日至10月14日期间遭到攻击,约1%的美国客户的姓名、出生日期、电话号码、电子邮箱等信息被泄露。汇丰银行方面表示,此次黑客入侵事件是由登录凭证攻击造成的,即黑客通过从其他途径获得的客户个人信息从而入侵汇丰银行账户。对此,汇丰银行暂停了部分账户的在线访问。同时,对个人网上银行平台的认证流程增加额外的安全保护,以保护其客户免受未来的攻击。
今年以来,针对银行的网络攻击现象逐渐增多。据报道,今年8月,黑客攻击印度科斯莫斯银行系统,窃取将近9.44亿卢比(约合1350万美元)资金;另外,俄罗斯央行发布消息称,俄罗斯银行业今年1~8月期间因网络攻击损失了7650万卢布;5月,加拿大蒙特利尔银行和帝国商业银行被网络黑客攻击,导致近9万名客户的数据被窃取,这应该是金融机构受到的最大一次网络攻击。
“一般而言,黑客入侵主要有三种途径:软件、硬件和网络。如果黑客掌握了客户在其他平台的密码信息从而入侵客户的银行账户,意味着可以通过验证登录账户,但黑客登录成功之后,账户的权限还得靠银行方面来设置。如果银行的权限设置没设计好,那么黑客登录客户账户之后就可以进行想要的操作了。”联通上海分公司某研发经理告诉记者。
上海某证券公司一位IT工程师认为,汇丰银行客户信息泄露事件中,黑客利用银行客户在其他地方的密码信息登录其银行账户,也就是“撞库”,这其中银行自身负有一定的责任。“一般来讲,如果客户的登录IP地址或设备发生变动,需要发验证码至手机进行验证,而黑客如果不经验证可直接登录账户,则说明银行在这方面管控不严。”
一位某金融IT公司的工程师向记者分析道,黑客无须验证却能够直接登录客户的银行账户,这种情况也有可能发生。“比如信用卡,信用卡主要分为两种:凭密消费和无密消费。对于无密消费的信用卡,黑客成功登录之后即可使用账户。”
漏洞仍存
当前信息技术在银行业务领域应用越来越广泛和普及,银行对数据安全十分重视防护,但仍然存在漏洞,个别银行机构对安全漏洞缺乏有效管理和修复机制,很容易被攻击者利用,继而对银行的业务安全和用户信息造成威胁。记者了解到,客户信息数据流主要经过数据搜集、数据传输、数据存储三个环节。通常来说,银行在这三个环节中做好保护措施,客户信息泄露的概率不高。
在数据搜集和传输方面,银行通常对操作有明确的规定,以保证客户信息不会在搜集的过程中发生泄露。以信用卡为例,某股份制银行信用卡中心一位内部人士告诉记者,客户在申请信用卡的时候,提交的相关资料都是由分行搜集好并密封起来,由总行专门人员去取件,然后送至总行再进行开封、录入,由此可以控制客户信息统一汇总至总行;而在信用卡申请审核过程中,每个员工负责对应的板块,所以银行员工并不能接触到客户的完整信息。
客户信息一旦进入银行的“数据库”,即进入“数据存储”环节。某股份行科技部工作人员向记者表示,在客户信息保护方面,银行严格按照《中华人民共和国网络安全法》执行,定期打系统安全补丁,在系统投产前做安全检查,确保银行的系统和网络安全。
来自招行的一位不愿具名的创新产品经理告诉记者,银行客户的信息保护除了有专门的安全团队会层层把关以外,还要满足相关审计和风控要求,对客户信息保护要求非常严格。
客户信息在进入银行内部后,尽管银行的工作人员会接触到部分客户信息,但由于银行员工签署了《保密协议》,约定员工对银行的信息有保密责任,从而保证客户信息在银行内部的安全。
上述受访工程师表示:“目前国内银行的信息安全保护等级很高,目前还没有遇到哪家银行数据发生大规模外泄。从数据安全的防线来说,可以简单分为三步,分别是网络安全、应用安全以及数据库安全。银行的内网与互联网是隔离的,这从第一道防线上确保了客户的信息安全。现在银行很重视信息安全,很多银行都有自己的机房,如果有外包人员前来测试,银行通常会给外包人员提供计算机,不允许外包人员带自己的电脑进入。”
而在此次汇丰银行数据泄露事件中,上海上华律师事务所张志成律师分析称,判断银行的责任主要基于三方面,一是系统是否存在明显漏洞;二是银行是否尽到了足够审慎;三是银行在这方面是否采取了合理的应对措施。“仅根据目前公开的信息,由于很多泄露细节还不清楚,因此尚不能判定汇丰银行具体承担什么责任。”张志成如是说。