一、国内外金融数据泄露原因分析
近几年,数据泄露事件频频发生,Identify Theft Research Center中心调查显示,截至2022年7月,数据泄露事件与2021年同期相比,增长了14%。在金融领域,发生数据泄露的原因主要有以下3点:
(一)因网站或系统漏洞导致数据泄露
一些金融机构的官方网站或业务系统在建设时,对访客访问数据的相关权限没有明确划分,或者网站或系统本身存在漏洞,导致敏感数据被动泄露,造成大量损失。2019年5月,美国第一金融集团被发现其官方网站存在漏洞,该漏洞具体表现为,在访问此网站时,用户可根据自己掌握的有效文档URL修改链接中的一个数字便可查看其他文档。此漏洞导致任何人不需要进行身份验证或授权便可访问其存储到官网上的包括有驾驶执照、电汇交易、社会安全号码、以及银行帐户等大量高度敏感的信息,这一漏洞说明此集团公司泄露了约8.85亿份文件,而泄露的时间可追溯到16年前。
(二)因遭受网络攻击而导致的数据泄露
在数据资源愈加重要的今天,金融行业的数据被黑客所“青睐”,遭受的网络攻击数不胜数,最著名的案例便是俄罗斯央行被黑客入侵而导致大量敏感数据被泄露。据统计,网络钓鱼和勒索软件攻击是造成数据泄露的主要原因,其他还包括恶意软件、凭证填充和不安全的云工具。2022年2月,著名的云基础架构企业VMware对全球130名金融部门首席信息安全官和安全领导者的调查结果表明,在2021年,商业机密被窃取的金融机构占比为66%,至少遭受一次勒索软件攻击的受访金融机构占比为74%,经历多次勒索软件攻击的受访机构比例为30%,其中有60%的机构迫于无奈缴纳了赎金。
(三)因金融机构内部管理制度失效引发数据泄露
金融机构自身管理制度不完善、不健全,也是造成数据泄露的重要原因之一,具体可分为三种:
一是金融机构内控制度对数据分类分级不明确。金融机构在数字化转型过程中,数据类型越来越多,数据来源也越来越复杂,如果不能将数据分类分级,实施针对性保护,数据保护形势便会越来越严峻。2022年国家级攻防演习结果显示,很多企业机构在网络安全防护方面做得极为完善,但是,由于缺乏对数据安全的重视,没有将数据分类分级,导致在演习中,大量的重要数据和敏感数据被轻易获取。
二是金融机构员工数据安全意识薄弱。部分金融机构对数据管理岗位员工未及时进行数据安全意识培训,导致内部数据管理人员数据安全意识薄弱,无法认识到数据的敏感性、重要性,员工在使用业务系统或数据系统时,出现弱口令、明文存储登录密码或敏感信息以及长期不更改密码等高风险现象。
三是金融机构对员工权限管理混乱或出现疏漏。一方面,部分金融机构对自身所拥有的敏感数据位置和体量认识不足,从而在划分员工访问、操作、管理等数据处理权限时出现混乱或者疏漏,另一方面,部分金融机构虽然制定了数据管理制度,但是相关制度并未严格落实到位,最终导致金融数据被泄露。
二、金融行业数据安全面临的风险与挑战
(一)日益复杂的网络环境加大了数据安全保护的难度
随着网络技术的不断发展,数据的复杂性和脆弱性也在不断上升。一方面,网络攻击的方式变得更复杂多样,之前的单一攻击正演变为多种网络攻击技术结合起来的复合攻击。随着人工智能、大数据、云计算等计算机技术的飞速发展,也产生了很多新型的攻击方式,新型攻击具有持续性强、隐蔽性高的特点,而传统的网络防御方式显然无法抵御新型的网络攻击手段,数据安全风险显著增加。另一方面,移动端用户数量的飞速增长和移动设备安全保护的复杂性,也增加了数据保护难度。
(二)金融数据跨境流动性增大导致数据安全风险不断上升
得益于网络技术的飞速发展,全球性的贸易活动和金融活动数量不断上升,这些活动的背后是体量庞大、信息成分多样的数据在不断跨境流动,在流动的过程中,数据的安全性无法得到有效保障,如果此类数据被某些不法分子截获,并恶意利用,那么将给国家和公民个人带来不可预估的损失。目前我国对数据跨境方面的法律细则还未明确,数据出入境安全缺乏有效评估方案,数据出境的具体管理方法还未形成配套保障机制,金融领域数据跨境流动安全风险不断上升。
(三)金融科技企业敏感信息监管相对薄弱
随着信息技术的不断进步,各类金融科技公司飞速发展,随之而来的是个人隐私信息被无序收集和利用,“大数据杀熟”便是个人信息被恶意利用的典型案例。大型科技公司凭借数据监管方面的缺失和自身拥有的庞大用户数量,不断将业务范围拓展到移动支付、理财销售和小额贷款等领域,由此积累了海量的用户个人敏感信息和金融交易数据,不同于银行等传统金融行业机构,新兴的金融科技公司尚未形成系统的数据管理方式,在这种情况下,数据的高度集中极易引发数据泄露事件。
三、对策与建议
(一)完善内部管理机制,提高员工数据安全意识
金融机构应根据国家法规政策,将海量数据分类分级,并根据不同岗位人员确定其访问权限,对数据的收集、处理、存储等方面制定规章制度并严格执行,同时,金融机构还要全方位、多层次开展数据安全意识培训,提高员工数据安全意识,确保机构内部数据泄露风险降到最低。
(二)健全跨境数据流动管理体系
我国虽然已经制定了一系列有关跨境数据流动的法规标准,如《中华人民共和国网络安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》《中华人民共和国数据安全法(草案)》和《数据出境安全评估办法(征求意见稿)》等,基本上构建了跨境数据流动管理体系,但为了应对日益复杂的数据安全形势,还应从强化数据管理顶层设计,积极参与国际数据治理相关活动,以及不断加强与世界各国的科技合作等方面入手,提升跨境数据的安全性。
(三)加强对新兴金融科技公司监管力度
一方面加大数据监管技术研发力度,依托新技术研发出新型数据监管系统,实现数据监管的智能化、高效化,不断提升政府部门对金融科技公司数据风险的监管能力,另一方面,构建跨行业数据监管体系,针对金融科技公司的特性,形成以金融监管部门为主,其他监管部门(网信部门、市场监督部门、外汇管理部门等)为辅的多方联合监管,进一步保障公民敏感数据的安全性。
四、结束语
金融领域的数据安全不断面临着新的风险与挑战,俄罗斯央行数据泄露事件更是为我国的数据安全管理敲响了警钟。只有充分保证金融数据的安全,才能使我国在数字化转型浪潮中安全前行,并进一步推动我国经济平稳健康发展。
