04 数字化转型中的数据安全与风险应对
李睿 银行数字化转型课题组
自20世纪90年代新技术浪潮兴起以来,国内银行业一直在孜孜不倦地推动信息科技在行业的应用,伴随着业务形态和场景的多样化,信息科技与银行业务不断融合,为业务发展提供了强大助力。信息科技在银行业的推广可以划分为三个阶段。
金融信息化。1984年商业银行业务从央行剥离并独立运营后不久,领先银行即开始了会计电算化和网点电子化之路。之后与新技术发展伴行,各类柜面应用业务处理系统大面积普及,随着业务的发展,引入网络技术,逐步实现全国网点联结,构建全国大集中的业务处理系统,实现了业务跨行联合和设备资源共享。这一阶段本质上是利用信息科技提高银行业务处理的效率。
金融互联化。20世纪90年代末期,随着互联网的兴起,银行陆续推出网上银行,通过互联网为客户提供服务。随着智能终端的普及和移动互联网的兴起,金融行业通过互联网和移动终端汇集了海量客户,越来越多的银行业务迁移至网上。这一阶段本质上是借助信息科技尤其是互联网技术,促成了传统金融渠道的变革。
金融数字化。2017年被称为金融科技元年,大数据、人工智能、区块链等新技术越来越多地应用在金融领域,不仅大幅提升了传统金融的效率,更为业务创新提供了动力。不同于前两个阶段,这一阶段的变革推动不仅来自银行业内部的发展需求,还来自外部科技公司对金融产品及服务的创新,改变了银行业的竞争格局,也促成了整个金融行业由科技驱动的巨大变革。
第1节 数据风险伴随金融数字化而生
当前我们正处于金融数字化的起步阶段,越来越多的新兴技术被应用于金融领域,解决传统金融的信息采集、风险定价模型、投资决策、信用中介等痛点。技术的应用大幅提升了业务效率,降低了业务成本,使得过往很多受限于效率成本而无法触达的客户群体、无法实现的金融服务都具备了实现的可能,从而进一步促进了业务的拓展与创新,但同时也引入了新的风险,其中数据风险是影响最大、范围最广的风险。
近年来的银行业数字化实践体现出4个趋势:
·开放化,主要体现在业务融合化、中台接口化、服务多元化;
·平台化,面向服务的IT架构更加开放,中台核心再造,后台大数据驱动创新;
·场景化,以用户为中心,用户体验至上,服务更加个性化,渠道碎片化、多样化;
·智能化,前中后台的快速重构、流程自动化以及AI技术的普遍应用。
这4个趋势背后的核心驱动力正是数据的深度挖掘和应用。可以说,数字化与信息化的核心差异点就在于,数据驱动的资源联动和打通使得信息科技从被动响应业务需求转变为与业务主动协同,为业务赋能,促成业务的转变。因此,数据价值不可避免地会越来越高。一方面,巨大的利益驱使下,数据产业已经形成人员数量庞大、分工明确的黑灰产业链,给银行业的数据安全带来了巨大的威胁。另一方面,银行数字化转型中开放化、平台化、场景化、智能化的特点,使得数据使用边界越来越模糊,数据安全责任难以认定,进一步加剧了数据安全风险。
监管机构已经意识到数字安全的严峻形势,近几年多个国家和地区陆续出台了相关的法律法规和监管要求。据不完全统计,全球已有100多个国家和地区颁布了数据安全或隐私保护的法律法规。以欧盟GDPR为代表,立法约束更加苛刻,执法力度更加严格,处罚力度空前。中国备受关注的《个人信息保护法草案》也于2020年10月提请十三届全国人大常委会第二十二次会议审议,聚焦目前个人信息保护的突出问题,落实个人信息保护责任,加大违法行为惩处力度。除此之外,央行及全国金融标准技术委员会也正通过制定《个人金融信息保护技术规范》等标准加快对金融领域的数据监管。未来数据安全将不可避免地会成为银行业数字化转型中的合规红线,需要业内高度重视。而在满足数据合规的同时,如何实现对数据深度挖掘与应用,将会是所有银行机构必须面对和深入思考的问题。
第2节 数据安全风险识别与应对
针对于此,我们组织开展了银行业专题调研,从业务场景出发,梳理和分析了业务、系统的相关风险,主要识别个人业务、对公业务、渠道和数据中台等四类风险场景。
个人业务数据安全风险,主要是复杂环境下的隐私保护风险。个人业务涉及前、中、后台,大量业务场景和相关支撑系统参与其中,开户、汇款、信贷、投资、保险等业务都是隐私保护的高风险场景,需要体系化考虑用户数据合理最小化收集、用户数据全生命周期安全管理、数据在各业务间交互的合理性及必要性等数据安全风险。
对公业务数据安全风险,主要是重要数据第三方共享风险。以资产证券化业务为例,大量数据打包后通过银行传输到第三方,什么数据能传、什么数据不能传、数据怎么传,都需要通过协议约束、安全技术管控等措施规避可能的用户隐私及商业秘密泄露风险。
渠道风险。银行业务渠道众多,包括手机银行、网上银行、微信公众号、小程序等,需要重点考虑多渠道多场景下的用户权利保障风险,如数据收集最小化,获得用户充分、有效的授权,建立用户权利行使的受理及处理机制等。
中台的开放平台和碎片化场景下的数据应用风险。业务和数据中台模式下,大量数据通过中台进行内外部交互,需要考虑是否存在业务必要性、是否满足最小化传输要求、数据安全影响及审批流程是否严谨、是否传输不必要信息、是否存在数据泄露等风险。
除了上述四大数据安全风险场景,在金融市场、同业业务等其他业务场景下,也面临着一定的数据安全风险。为应对上述风险,建议建立体系化的数据安全闭环管理,构建“四个纵深一个闭环”的数据安全保护体系,通过贯穿各业务场景的数据全生命周期的“识别—分级—保护”流程,实现对个人隐私和重要数据的有效保护。
·治理架构纵深:以数据安全合规为顶层输入,以技术体系为支撑,形成管理、合规、运营、技术的纵深体系。
·业务流程纵深:以业务流程中的数据风险管控为核心,从数据在前、中、后台系统中的纵深路径按图索骥地分析风险点。
·安全防御纵深:按照网络安全威胁程度,划分为不同的安全域,并在域中和边界部署防护手段。
·生命周期纵深:以分类分级为核心的数据安全全生命周期管理体系纵向贯穿整个框架。
在四个纵深基础上,完善监督评价体系,从而形成从框架设计到运行、评价和改进的管理闭环。
数据安全管理体系的构建是一个动态、长期的过程,难以一蹴而就,需要统筹考量,下决心、花力气、抓重点、树典型,在积极应对数据安全风险的同时,将风险化为机遇,将数据安全转化为银行的核心竞争力,赢得市场机会,赢得用户信任。
此外,构建一个有效的数据安全管理体系,也应当充分考虑现实情况和可行性。由于数据类型和敏感程度的不同,在开展数据安全管理体系建设、推动管理要求落实的过程中,要充分考虑数据特性和监管重点,优先落实对高风险、大规模数据的保护,同时动态适应当前的业务和IT环境变化。从当前的环境来看,用户及雇员的个人信息保护和远程办公中的数据安全(将在下一节介绍)是两个需要重点关注的场景。
个人信息一直以来是数据安全保护的主要对象,其也因应用范围广、数据规模大、涉及场景复杂,成为最易发生数据泄露的“重灾区”。此外,由于个人信息的巨大商业价值,违规采集和使用个人信息也是一类高发的数据安全事件。合理使用、有效保护个人信息是银行必须承担的责任。银行需要从个人数据全生命周期的各个环节——收集、传输、处理、存储和销毁,落实对于个人信息的保护工作。
1)在涉及个人数据收集的业务场景中,银行应明确告知数据主体其收集目的和用途以及收集的数据字段。同时,应确保收集的数据字段为业务开展所必需的,做到数据收集最小化。
2)在个人数据传输环节,需明确数据传输目的和用途,同时提高营业网点工作人员的个人信息保护意识,并严格限制其接触个人信息权限,降低数据泄露风险。
3)在个人数据处理环节,严格限制处理个人信息的人员权限,最大程度降低个人隐私泄露风险,并按照法律法规要求记录后台操作数据,做到数据处理可追溯。
4)在个人数据存储环节,应对个人信息按照信息敏感程度进行分级管理,明确个人隐私信息存储要求和标准,同时将个人敏感信息与一般信息分开存放和管理,使用安全可靠的存储介质,并尽可能安排专人进行管理。
5)在个人数据销毁环节,当出现服务中止或其他需要销毁个人信息的情况时,应删除全部已收集到的个人信息,并停止个人数据收集行为。如因为其他监管要求(如反洗钱、会计档案管理要求等)需要保存数据,应依据监管要求最小化保存个人信息,并告知数据主体且获得其同意。
第3节 远程办公中的数据安全
当前,数字化转型为远程办公提供了基础,成为银行兼顾员工健康和业务运转的最佳方式,并会对未来的办公形式产生深远的影响。远程办公过程中的信息和数据安全应引起银行及员工的高度重视。银行在过往的管理中,一直行使严格的网络隔离控制,对某些工作和岗位开启了远程办公,但这在打开方便之门的同时,也使业务系统、重要数据和办公网络的操作场景复杂化,增加了信息安全风险。银行需要从技术架构、数据管理和员工行为等多维度、多领域进行系统化统筹,以实现效率与安全的统筹兼顾。
用一句话总结远程办公中数据安全的保护要点是,控源头、限接触、勤监控、早阻断。
1. 远程数据的产生和存储风险
风险场景:远程办公环境下,数据的访问和接入途径更加多样,由于办公需要,数据的访问权限需要进一步扩展等,这些均导致数据在展示和传输过程中的泄露风险极大提升。
应对提示:数据分级管理,严控数据源头。
在远程办公场景下,须重点管控两个数据源头。
一是服务器端,需要对数据进行分类分级管控。对于高敏感的重要数据,应严格限制远程访问的账户、访问权限及远程接入方式。对于访问账户,建议在进行远程办公的同时,整理和排查当前账户的合法状态,及时锁定非法账户,同时关注系统授权的合理性,严格管控远程操作的账户权限。对于需要临时授权的账户,进行严格的权限授权审批,并在工作完成后及时收回权限。对于远程接入方式,应采用预置VPN接入办公。如不具备VPN接入条件,应采用HTTPS对访问通道进行加密,同时采用双因素授权的方式进行远程登录。对于重要数据采取数据不离线的工作方式保障数据安全,远程办公所有的操作数据均在服务器端存储,禁止将数据下载至移动办公终端。同时,建议通过系统现有安全机制和网络策略的配合来实现不同角色的用户权限控制,以达到权限安全管控的目的。
二是移动办公终端,应严格限制移动终端的使用,禁止使用未经银行注册或登记的个人移动设备办公,或仅允许受信任或安装了防护软件的终端设备接入行内系统进行工作。
2. 远程复杂网络环境风险
风险场景:远程办公不同于集中办公,其所处的网络环境更加复杂,4G/5G网络热点、家用Wi-Fi、公用Wi-Fi等,接入网络变得不可信任,可能导致利用钓鱼网络的中间人窃取数据,使得数据更多地暴露在不可信的环境中,带来数据泄露风险。
应对提示:限接触,保障环境可信,限制用户接触。
在控制数据存储源头的基础上,还需要对数据传输和远程使用进行进一步管控。对于云端和移动终端,以及移动终端之间的数据交互,应对数据通信全链路进行HTTPS加密,防止数据在传输中泄露或被窃取。另外需要特别注意的是,对于传输数据的邮件或即时通信工具需要严格加以限制,应使用银行工作邮箱和专用通信工具进行数据传输,禁用公共邮箱和通用即时通信工具传输与行内业务有关的数据。对于移动终端而言,还需要注意接入的网络热点和Wi-Fi安全,不要接入未知的网络热点和Wi-Fi处理办公数据,尤其是不需要密码就可直接登录的网络,谨防非法网络窃取数据,建议规定必须在接入预置VPN的状态下才可进行办公操作。
3. 远程用户访问和操作风险
风险场景:在远程办公场景下,用户需要远程访问系统来处理或下载数据,用户身份和访问行为都变得更加不可信,例如假冒合法用户访问,用户越权访问,批量数据下载,高敏感数据的修改和删除等异常访问和操作等攻击行为,均可能导致重要数据的泄露或不可用。
应对提示:勤监控,丰富监控手段,提升监控频率。
银行业应考虑对所使用数据的数据生命周期进行全面监控,这一点在远程办公模式下尤为重要。在云端和服务器端,重点监控访问系统的操作行为,包括账户状态、授权范围、访问时间、访问方式、访问内容、访问频次、操作行为和数据传输内容等信息,尤其需要关注短时间内的异地登录,多次用户登录失败后的登录成功,用户登录后短时间的系统各页面间的高频访问,用户登录后的数据批量操作等异常行为;同时还需重点监控系统接口的数据传输情况,包括数据类型、数据传输量、传输频次等。在授信移动办公终端时,重点监控用户对重要数据的操作行为,包括数据存储位置、通信工具传输行为等。另外还需提升对账户密码强度和修改次数的监控,建议在远程办公期间,提高对用户密码复杂度的要求,同时加快更换密码频率,缩短密码有效期。通过对数据生命周期重点场景的监控,及时发现并纠正违规行为,提升数据保护能力。
4. 数据泄露的应急管理
风险场景:无论如何防护,远程办公环境下的数据传输和使用都会面临比集中式办公环境更大的安全风险,银行需要未雨绸缪,提前考虑体系化的预防和应急管理,避免因应对不当而导致损失扩大。
应对提示:早阻断,及时修复漏洞,提前部署预案。
一旦发现可能的数据安全风险问题,需要及时阻断以降低损失。建议重点关注三个方面。一是系统安全漏洞的加固和修复。在远程办公环境下,需要加强对服务器操作系统、中间件、数据库和相关开源组件等安全漏洞的扫描频次,对于服务器端和移动终端出现的安全漏洞,需要及时修复和加固,避免黑客利用漏洞远程窃取数据。二是异常操作行为的及时发现和阻断。针对上一节中的异常行为,从管理和技术层面加强建设,针对发现的风险及时报警和阻断。三是数据泄露后的应急处置。银行需要提前制定针对场景的应急预案,尤其是远程办公环境下,数据泄露、数据窃取、数据误操作等风险的场景化预案,对问题进行及时响应和处置。