因网络安全等问题中国农业银行被罚款420万
1月29日,银保监会开出2021年第一张罚单,中国农业银行因涉及发生重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,被罚420万人民币。
具体来看,农业银行涉及的违法违规行为包括:
(一)发生重要信息系统突发事件未报告;
(二)制卡数据违规明文留存;
(三)生产网络、分行无线互联网络保护不当;
(四)数据安全管理较粗放,存在数据泄露风险;
(五)网络信息系统存在较多漏洞;
(六)互联网门户网站泄露敏感信息。
可以看出,农行“六宗罪”主要涉及到两个问题:网络安全与数据安全。
随着金融科技的发展,大量银行业务由线下转为线上,交易链条不断延伸,金融机构生产交易系统之间、以及与外部合作机构系统之间的信息交互明显增多。但是,由于部分机构安全风险防范意识不足,内控管理不到位,技术措施和管理手段缺失,生产交易系统安全风险增大。因此,银保监会近年来也是屡屡发文提示此类风险,并加强了相关风险的检查。
据《中国个人金融信息保护执法白皮书(2020)》不完全统计,截至2020年10月25日,中国人民银行总行及各地分支行开出的行政处罚罚单里,涉及“个人金融信息”的共181张。
这181张罚单罚款金额合计超过1.8亿元人民币;处罚对象包括银行(含农信社,下同)、证券公司、支付机构、消费金融公司等,以及对相关违规行为负有责任的具体人员;处罚的违法行为类型包括未经审批查询个人金融信息、未按规定保存客户身份资料和交易记录、侵害消费者个人信息依法得到保护的权利等。
其中针对企业的罚款为18331.7394万元人民币,针对个人的罚款为427.375万元人民币。从罚款金额来看,企业占比98%,个人占比2%,受到处罚的行政相对企业为主。
普法教育
《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》要求,银行运营为金融行业中的关键业务。
因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。而相关的规范规定更是数不胜数,在今年就发布有《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《商业银行应用程序接口安全管理规范》等等多个规范。
此次这个事件为我们敲响了警钟,对于银行们来说,不仅要吸取现有案例的经验教训,还应当以此为鉴,认真开展自查,采取有效防范和应对措施,防止类似风险事件再次发生。
一、是切实提高安全风险防范意识,强化内控管理。加强信息科技风险整治力度,确保信息科技资源投入合理、到位。建立健全科技岗位监督制约机制,严格落实开发与运维岗位分离要求。
二、是开展安全隐患排查,修补系统安全控制缺陷。重点排查各类生产交易系统在异常交易场景下业务流程的完备性和安全性,确保交易环节中重要业务数据的完整性校验、加密等措施能够有效防范数据篡改、泄露和重放攻击等风险。
三、是严格落实开发、运维、外包管理制度。坚持规范编程,严禁将数据库用户账号和口令明文写入系统源代码,强化安全测试,加大源代码安全审查力度;各项运维操作集中通过堡垒机实施,加强运维用户分级管理,严格管控运维操作用户权限,定期审计运维操作日志。