21世紀(jì)經(jīng)濟(jì)報道記者李覽青、吳立洋 上海報道

隨著金融機(jī)構(gòu)開放生態(tài)場景建設(shè)不斷完善，供應(yīng)鏈安全成為金融行業(yè)網(wǎng)絡(luò)安全管理面臨的新挑戰(zhàn)。

近日，國家金融監(jiān)管總局辦公廳印發(fā)《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》（以下簡稱“《通知》”），近期，部分銀行保險機(jī)構(gòu)的外包服務(wù)商發(fā)生多起安全?險事件，對銀行保險機(jī)構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性造成一定影響，暴露出銀行保險機(jī)構(gòu)在外包服務(wù)管理上存在突出?險問題。監(jiān)管方面要求金融機(jī)構(gòu)進(jìn)一步加強(qiáng)供應(yīng)鏈安全管理，保障生產(chǎn)穩(wěn)定運行。

【資料圖】

這是繼2021年末原銀保監(jiān)會下發(fā)《銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》以來，對金融機(jī)構(gòu)外包風(fēng)險管理提出的又一細(xì)化要求。

“既要連接又要安全?！币患医鹑诳萍甲庸究偨?jīng)理向21世紀(jì)經(jīng)濟(jì)報道記者表示，目前其所在公司正在研究探討如何防范供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險。

金融網(wǎng)絡(luò)安全風(fēng)險頻發(fā)

談及金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型，“開放”、“連接”、“生態(tài)”都是屢被提及的關(guān)鍵詞。

然而，當(dāng)信息系統(tǒng)走向開放，新的網(wǎng)絡(luò)安全問題也隨之產(chǎn)生，針對金融機(jī)構(gòu)的網(wǎng)絡(luò)攻擊頻發(fā)。

事實上，涉及大量個人客戶敏感信息的金融行業(yè)一直都是黑客網(wǎng)絡(luò)攻擊的對象。中國信通院發(fā)布的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)研究報告（2022年）》顯示，中國網(wǎng)絡(luò)安全下游客戶中金融行業(yè)貢獻(xiàn)的營收占比為17.4%，在各行業(yè)中位居第二。從全球角度來看，據(jù)Palo Alto Networks發(fā)布的《2022年Unit42事件相應(yīng)報告》指出，從行業(yè)角度來看，在過去一年中金融行業(yè)的贖金金額最高，被勒索近800萬美元。

在《通知》列出的5起科技外包風(fēng)險事件中，有3起事件是金融機(jī)構(gòu)由于外部服務(wù)商系統(tǒng)或外部工具存在安全漏洞，被黑客攻擊導(dǎo)致客戶信息泄露，甚至遭遇勒索。

“商業(yè)軟件投毒的威脅已經(jīng)是目前金融機(jī)構(gòu)面臨的一大挑戰(zhàn)。”墨菲安全聯(lián)合創(chuàng)始人兼COO周欣提到，近兩年，對商業(yè)軟件有意識的投毒行為出現(xiàn)較為明顯的上升趨勢，由于商業(yè)利益，金融機(jī)構(gòu)也是黑產(chǎn)較易發(fā)生軟件投毒的領(lǐng)域，金融行業(yè)亟需提升對軟件投毒的警惕性。

供應(yīng)鏈安全管理新挑戰(zhàn)

監(jiān)管對金融機(jī)構(gòu)信息安全與外包風(fēng)險管理早有要求，而如今，金融機(jī)構(gòu)正面臨供應(yīng)鏈安全管理的新挑戰(zhàn)。

21世紀(jì)經(jīng)濟(jì)報道記者從業(yè)內(nèi)人士處了解到，2021年，原銀保監(jiān)會曾下發(fā)《關(guān)于供應(yīng)鏈安全風(fēng)險提示的函（銀保監(jiān)統(tǒng)信函[2021]371號）》，對銀行網(wǎng)絡(luò)供應(yīng)鏈安全管理作出規(guī)范。到2021年12月30日，原銀保監(jiān)會又下發(fā)《銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》，要求機(jī)構(gòu)建立起外包管理體系，并強(qiáng)化相關(guān)主體責(zé)任。

“去年年初銀保監(jiān)會這個文件出臺后，我們內(nèi)部也出臺了相關(guān)辦法加強(qiáng)對外包風(fēng)險管理，但側(cè)重點有所不同?！蹦辰鹑跈C(jī)構(gòu)的科技子公司總經(jīng)理告訴記者，2021年末的文件主要是針對外包供應(yīng)商的資質(zhì)、合同等流程與機(jī)制作出管理要求，其所有的科技外包合同都要向監(jiān)管報備，但本次《通知》出現(xiàn)的網(wǎng)絡(luò)風(fēng)險是安全運營層面的，考驗的是機(jī)構(gòu)對網(wǎng)絡(luò)攻擊防范、災(zāi)難恢復(fù)以及與供應(yīng)鏈有效隔離的能力。他提到，其所在單位正在研究防范供應(yīng)鏈網(wǎng)絡(luò)風(fēng)險，特別是與其有合作、有連接的供應(yīng)商，由于自身安全問題給金融機(jī)構(gòu)帶來的風(fēng)險。

“金融機(jī)構(gòu)現(xiàn)在風(fēng)險接觸面明顯增大?！敝苄栏嬖V記者，過去金融機(jī)構(gòu)的系統(tǒng)是相對封閉的，且軟件、數(shù)據(jù)大多在B端層面流動，但近年來，隨著金融機(jī)構(gòu)業(yè)務(wù)能力的包裝，他們的B端合作伙伴，例如互聯(lián)網(wǎng)公司卻是需要對外暴露自身的接口甚至代碼，與此同時金融機(jī)構(gòu)在面向C端用戶下沉?xí)r，如APP客戶端代碼等系統(tǒng)信息也暴露給了終端用戶，風(fēng)險接觸面的擴(kuò)大加大了安全問題出現(xiàn)的可能。

另一個問題是供應(yīng)鏈軟件的引入規(guī)模增大。周欣提到，過去金融機(jī)構(gòu)的軟件大部分是自行研發(fā)的，隨著業(yè)務(wù)需求與應(yīng)用場景的復(fù)雜化，金融機(jī)構(gòu)采購、外包、調(diào)用第三方開源軟件愈加頻繁，軟件供應(yīng)鏈規(guī)模不斷增大，且軟件間的嵌套、依賴關(guān)系越來越復(fù)雜，風(fēng)險排查的復(fù)雜性也隨之增大。同時，很多金融機(jī)構(gòu)在將服務(wù)外包出去后，整體驗收過程仍是以功能性驗收或業(yè)務(wù)驗收為主，對安全的準(zhǔn)入標(biāo)準(zhǔn)和驗收流程是缺失的，這也導(dǎo)致部分供應(yīng)商的安全隱患經(jīng)由供應(yīng)鏈帶入到金融機(jī)構(gòu)內(nèi)部。

亟待健全安全管理機(jī)制

在本次下發(fā)的《通知》中，4家省聯(lián)社因托管在某服務(wù)商的網(wǎng)銀系統(tǒng)因存在越權(quán)訪問漏洞，被不法分子攻破，大量客戶信息與賬戶信息被竊取。

對此，中小金融機(jī)構(gòu)的信息外包風(fēng)險管理機(jī)制不足再次受到業(yè)內(nèi)關(guān)注。

安永（中國）企業(yè)咨詢有限公司大中華區(qū)網(wǎng)絡(luò)安全與隱私保護(hù)咨詢服務(wù)合伙人張偉向記者指出，省聯(lián)社和保險公司在信息科技外包風(fēng)險管理方面仍然有待加強(qiáng)。目前我國政策性銀行、商業(yè)銀行普遍建立起信息科技風(fēng)險管理“三道防線”，信息科技外包也作為信息科技風(fēng)險的重點領(lǐng)域納入管理范疇。但是在實踐過程中，張偉關(guān)注到省聯(lián)社和保險公司的信息科技風(fēng)險管理成熟度相較于政策性銀行和商業(yè)銀行仍然存在一定差距，尤其是在信息科技外包風(fēng)險管理原則的落實、信息科技外包服務(wù)事前、事中、事后的風(fēng)險防控，以及信息科技外包應(yīng)急處置等方面存在待提升空間。

監(jiān)管部門在《通知》中指出，目前機(jī)構(gòu)存在的主要風(fēng)險和問題有三個方面，一是在供應(yīng)鏈安全管理上履職不到位，二是對外包服務(wù)的應(yīng)急管理機(jī)制不健全，三是外包服務(wù)商自身的安全管理和技術(shù)防護(hù)能力嚴(yán)重不足。

多位來自大型金融機(jī)構(gòu)的受訪對象向記者表示，在安全管理機(jī)制完備的情況下，能很大程度地避免機(jī)構(gòu)自身帶來的網(wǎng)絡(luò)安全隱患。

某券商科技部門人士告訴記者，在第三方合作協(xié)議簽訂時，其明確要求客戶敏感信息做私有化部署，且數(shù)據(jù)不得用于其他用途。另有某股份制銀行科技部門人士介紹，銀行作為強(qiáng)監(jiān)管的行業(yè)，在核心業(yè)務(wù)系統(tǒng)方面大多會要求第三方平臺駐場做數(shù)據(jù)的本地化部署。

“目前各家金融機(jī)構(gòu)對外包風(fēng)險管理監(jiān)管力度不均衡。”綠盟科技相關(guān)專家告訴記者，當(dāng)下各家金融機(jī)構(gòu)開展風(fēng)險評估的外包商范圍不同，有的選擇性抽查開展，有的全面開展，金融機(jī)構(gòu)對開展信息科技外包活動的重視度不夠，金融機(jī)構(gòu)需排查對外包商分類分級的落實情況。

周欣表示，未來供應(yīng)鏈風(fēng)險需要透明管理?！斑^去軟件供應(yīng)鏈風(fēng)險治理是缺乏觸發(fā)該缺陷場景的檢測能力的，即便安全風(fēng)險有所暴露也難以即時加觸發(fā)和檢測，如果沒能構(gòu)成安全風(fēng)險的識別閉環(huán)，基本上也意味著安全風(fēng)險不透明。”周欣指出，要識別出在哪些場景可以觸發(fā)安全漏洞，則需要對供應(yīng)商提供的軟件進(jìn)行深層次分析。

綠盟科技相關(guān)專家向記者提到，目前部分金融機(jī)構(gòu)相關(guān)人員安全意識仍存在不足，他提到，現(xiàn)在的安全管理依舊是割裂的，工具是各部分自用的、大型組織中采購、開發(fā)、運維、安全管理團(tuán)隊各自維護(hù)著自身的軟件資產(chǎn)，無法形成統(tǒng)籌，管理人員與操作人員也不具備相應(yīng)的安全視角，依舊關(guān)注能力效率，不注重安全合規(guī)交付。

關(guān)鍵詞：