7 月 18 日，一則消息引爆金融和網(wǎng)絡(luò)安全行業(yè)，國家金融監(jiān)督管理總局依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》第四十六條第五項、第四十八條第二項，《中華人民共和國商業(yè)銀行法》第七十三條第三項，對中行嘉興分行存在的包括“違規(guī)泄露客戶信息”等 6 項主要違法違規(guī)行為處以 210 萬元的罰款。

銀行客戶數(shù)據(jù)安全問題又再一次成為社會廣泛議論的焦點。

銀行作為金融行業(yè)中普通公民最容易接觸的實體機構(gòu)，是國家金融系統(tǒng)的核心組成部分，對整個社會運轉(zhuǎn)舉足輕重。目前，乘著數(shù)字化轉(zhuǎn)型的“東風(fēng)”，銀行業(yè)務(wù)追求智能化轉(zhuǎn)型線上，已基本實現(xiàn)全民在線銀行服務(wù)、移動支付和數(shù)字貨幣等。

然而，隨著轉(zhuǎn)型推進，儲存、使用的客戶數(shù)據(jù)量級呈幾何式增長，面臨網(wǎng)絡(luò)安全風(fēng)險與日俱增，一旦遭受網(wǎng)絡(luò)攻擊可能會導(dǎo)致大量客戶數(shù)據(jù)泄露，給銀行信譽和客戶信任帶來嚴(yán)重損害，擾亂社會正常生產(chǎn)秩序。根據(jù) erizon 發(fā)布的《2023 年數(shù)據(jù)泄漏調(diào)查報告》（DBIR）來看，74% 的金融和保險行業(yè)數(shù)據(jù)泄漏事件涉及個人數(shù)據(jù)泄露，再加上銀行儲存的客戶信息包括身份證號碼、郵箱地址、社保號碼等，這些信息一旦被非法分子獲取，將對客戶個人財產(chǎn)安全構(gòu)成極大威脅。

更可怕的是，《金融行業(yè)網(wǎng)絡(luò)安全白皮書（2020）》的數(shù)據(jù)結(jié)果顯示金融隱私泄露事件正以每年約 35% 的速度增長。窺一斑而知全貌，金融行業(yè)的數(shù)據(jù)泄露事件激增，進一步凸顯了銀行現(xiàn)階段面臨的網(wǎng)絡(luò)安全以及數(shù)據(jù)安全威脅。為應(yīng)對這一挑戰(zhàn)，銀行業(yè)需盡快梳理并重視當(dāng)前面臨的安全風(fēng)險類型，采取相應(yīng)策略降低風(fēng)險。

盤點常見的銀行數(shù)據(jù)泄露形式

銀行業(yè)頻頻發(fā)生數(shù)據(jù)泄露事件逐漸引起全球重視，經(jīng)網(wǎng)絡(luò)安全業(yè)內(nèi)人士梳理每個數(shù)據(jù)泄漏案件詳情，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊僅僅有 20%-30% 是由黑客攻擊或其他外部原因造成，由銀行內(nèi)部員工疏忽，甚至是“監(jiān)守自盜”，擅自售賣客戶隱私數(shù)據(jù)給網(wǎng)絡(luò)犯罪組織，以謀取暴利的案件占據(jù)了 70%~80% 。

研究人員在梳理全球銀行業(yè)數(shù)據(jù)泄露案件，發(fā)現(xiàn)網(wǎng)絡(luò)犯罪分子針對國內(nèi)外銀行業(yè)發(fā)動網(wǎng)絡(luò)襲擊時，進攻的側(cè)重點也有細微差別，國外銀行主要遭遇勒索軟件、供應(yīng)鏈攻擊以及APT攻擊等，國內(nèi)銀行安全事件多為各種內(nèi)部人員操作不當(dāng)和釣魚攻擊造成客戶數(shù)據(jù)泄漏。

1.國內(nèi)銀行典型數(shù)據(jù)泄露形式

(1) 內(nèi)部人員倒賣信息

銀行內(nèi)部人員倒賣客戶數(shù)據(jù)是近年來常見的方式之一。一小部分銀行職員利用職務(wù)之便，私下收集銀行內(nèi)部敏感數(shù)據(jù)，”被動“或”主動“聯(lián)系網(wǎng)絡(luò)犯罪分子倒賣客戶數(shù)據(jù)，以此獲取暴利。

例如淮陰市某設(shè)銀行員工參加黑色產(chǎn)業(yè)鏈，售賣客戶個人信息案件一度鬧得沸沸揚揚。警方透露該案涉及到違法收入 2000 多萬元，一共 50000 多條公民個人信息被盜賣 ，該名銀行基層員工通過將部分客戶的身份信息、電話號碼、余額、家庭住址、交易記錄等敏感信息，售賣給下家，以此牟利。

裁判文書網(wǎng)也曾公開兩起銀行職員泄露客戶隱私信息的犯罪案件判決書。其中上海某分行員工吳某某售賣公民個人征信信息830余條，被判侵犯公民個人信息罪，判處有期徒刑一年二個月，緩刑一年二個月，并處罰金人民幣4000元。余姚某分行行長沈某某，將該行受理的貸款客戶財產(chǎn)信息共計127條提供給他人用于招攬業(yè)務(wù)，被判侵犯公民個人信息罪，判處有期徒刑三年，緩刑三年，并處罰金人民幣六千元。

(2) 銀行觸碰安全合規(guī)紅線

銀行收集了大量戶開戶、存款、交易記錄等數(shù)據(jù)信息，鑒于這些數(shù)據(jù)的敏感性，一旦遭遇泄露，造成的后果難以設(shè)想，因此內(nèi)部理應(yīng)有著嚴(yán)格數(shù)據(jù)儲存、使用和管理的系統(tǒng)機制，確保數(shù)據(jù)安全，但目前很多銀行都沒有盡到保護客戶數(shù)據(jù)的義務(wù)，屢屢觸碰數(shù)據(jù)安全合規(guī)紅線，被處以重罰。

近期，業(yè)內(nèi)議論最多的中國銀行股份有限公司嘉興市分行被罰 210 萬一事，其中處罰書中就透露該銀行被罰的主要原因之一就是因為違規(guī)泄露客戶信息。值得一提的是，銀行泄露客戶的案例近兩年出現(xiàn)多起。例如 2020年11月，農(nóng)行吉林市江北支行因“侵害消費者個人信息依法得到保護的權(quán)利”“違反反洗錢管理規(guī)定，泄露客戶信息”被警告，并被罰款1223萬元；2021年1月29日，農(nóng)行因“互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息”“數(shù)據(jù)安全管理較粗放，存在數(shù)據(jù)泄露風(fēng)險”“制卡數(shù)據(jù)違規(guī)明文留存”等6項違法違規(guī)行為，被罰了 420 萬元。

(3) 網(wǎng)絡(luò)釣魚攻擊竊取數(shù)據(jù)

網(wǎng)絡(luò)犯罪分子會使各種技術(shù)手段攻擊目標(biāo)銀行系統(tǒng)，傳統(tǒng)防御設(shè)備已很難應(yīng)對現(xiàn)今的黑客攻擊浪潮，加上網(wǎng)絡(luò)犯罪組織往往采用極為先進的”技術(shù)手段“，擅長使用釣魚郵件、社交工程對銀行目標(biāo)系統(tǒng)進行持續(xù)攻擊，其中釣魚郵件是網(wǎng)絡(luò)犯罪分子最常見的攻擊手段。

網(wǎng)絡(luò)犯罪分子通過發(fā)送帶有病毒或者勒索軟件的釣魚郵件，（通常會偽造成銀行職員的工資單，福利通知，報銷賬單等），誘惑銀行職員點擊郵件中的惡意鏈接，一旦某個職員上當(dāng)，惡意程序便會在其內(nèi)部系統(tǒng)中”繁殖“，控制電腦，并且感染其它主機，最終悄無聲息地盜取銀行客戶信息。

2.國外銀行典型數(shù)據(jù)泄露形式

(1) APT 攻擊

APT 攻擊是一種周期較長、隱蔽性極強的攻擊模式，相對其它攻擊模式而言，因其目標(biāo)性強、破壞力強、隱蔽性強、危害極大等優(yōu)勢，一直是最難防御的一種攻擊方式。近幾年，APT 黑客團體逐漸將攻擊目標(biāo)轉(zhuǎn)向銀行業(yè)，以謀取巨額利益。

其中比較著名的俄羅斯黑客團伙 Metel，該團伙將目標(biāo)放在有機會接觸金錢交易的機器設(shè)備身上，例如呼叫中心與支持設(shè)備，一旦成功入侵這些設(shè)備，攻擊者們會利用其接入能力對ATM機的交易記錄進行自動回滾。在對一臺又一臺ATM設(shè)備進行入侵之后，Metel犯罪團伙得以成功入侵 30 家企業(yè)。

(2) 勒索軟件攻擊

2010 年以來，勒索軟件猖獗，迭代演進迅速，據(jù)相關(guān)機構(gòu)的統(tǒng)計，勒索軟件組組織針對科技巨頭、政府機構(gòu)、金融業(yè)的案例每年都成倍增長，其中銀行、債券等金融機構(gòu)保有大量客戶數(shù)據(jù)信息，嚴(yán)重依賴數(shù)據(jù)資源維持正常運營，再加上銀行業(yè)資金充沛，屢遭勒索軟件攻擊。

舉一個典型的案例，近期西班牙環(huán)球銀行(Bank Globalcaja)遭遇了 Play 勒索軟件組織攻擊,，該組織攻擊了銀行并竊取了數(shù)量不詳?shù)乃饺撕蛡€人機密數(shù)據(jù)、客戶和員工文件、護照、合同等，要求環(huán)球銀行支付巨額贖金，否則便泄露數(shù)據(jù)。

(3) 移動銀行木馬猖獗

2023 年上半年，卡巴斯基發(fā)布的《2022 年移動威脅》顯示 2022 年新增了近 20 萬個新型手機銀行木馬，同比前年增長一倍，是近六年來的增幅最快的一年。這些移動銀行木馬通過感染用戶移動設(shè)備，竊取手機銀行賬戶憑證或電子支付詳細信息。

其中， Anubis 移動銀行木馬中是一個“獨特”的存在 ，2016 出道以來，幾經(jīng)迭代，逐漸具有了遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件等盜取信息的能力，以及較低的使用門檻，在“木馬圈”站穩(wěn)跟腳，直至近幾年位列最猖獗的移動惡意軟件榜首。

(4) 數(shù)據(jù)存儲在公網(wǎng)未被保護

現(xiàn)階段，出于更便利、安全 、節(jié)省成本的考慮，越來越多銀行金融機構(gòu)將客戶數(shù)據(jù)儲存在云端數(shù)據(jù)庫中，然而部分企業(yè)在數(shù)據(jù)上傳到云端后就置之不理，缺乏更先進，更嚴(yán)密的隱私保護技術(shù)，盡管業(yè)內(nèi)普遍認為云端的安全性不需要擔(dān)心，但總發(fā)生云端儲存的客戶數(shù)據(jù)信息被泄露事件。

此前，研究人員就曾發(fā)現(xiàn)兩家金融服務(wù)公司 Advantage Capital Funding 和 Argus Capital Funding 將數(shù)據(jù)存儲在未受保護的 AWS S3 數(shù)據(jù)庫中，導(dǎo)致 50多萬個敏感的法律和財務(wù)文件遭到泄露。最終調(diào)查顯示，這些文件似乎與名為 MCA Wizard 的商戶現(xiàn)金透支移動應(yīng)用程序相關(guān)。

3.安全漏洞可能是銀行業(yè)數(shù)據(jù)泄露最大“元兇”

銀行無疑是網(wǎng)絡(luò)犯罪團伙緊盯著的”肥肉“，除上述幾種獲取銀行客戶數(shù)據(jù)的方式外，漏洞利用是國外黑客組織通用的技術(shù)手段。銀行數(shù)智化轉(zhuǎn)型階段在新設(shè)備和新軟件整體上線之前會在開發(fā)階段、測試階段、交付階段進行各種安全檢查，以避免類似 RCE 漏洞、水平越權(quán)、xss 漏洞之類存，但考慮到數(shù)據(jù)整體遷移備份問題，很難整體一次性更換老舊設(shè)備，難免會留有漏洞。

這時候，網(wǎng)絡(luò)犯罪分子便有了可乘之機。

其中一個典型案例美國第一資本銀行 1.06 億銀行卡用戶及申請人信息泄露事件。網(wǎng)絡(luò)犯罪分子佩奇湯姆森(Paige Thompson)，利用第一資本銀行內(nèi)部系統(tǒng)防火墻中存在的安全漏洞，通過攻擊該銀行租借的云計算服務(wù)器，成功入侵銀行數(shù)據(jù)庫，最終造成 1.06 億銀行卡用戶及申請人信息泄露。

值得一提的是，一旦遇到采用上述方式仍未獲得想要的資源時，網(wǎng)絡(luò)犯罪分子還會使用 BGP 劫持、爆破攻擊等更為復(fù)雜、猛烈的攻擊手段。

銀行業(yè)務(wù)數(shù)據(jù)管理辦法發(fā)布，提出新的要求

頻頻發(fā)生的銀行客戶數(shù)據(jù)泄露事件不僅挑動每一個公民的”神經(jīng)“，同樣是挑戰(zhàn)網(wǎng)信部門和金融監(jiān)管等相關(guān)部門紅線。據(jù)不完全統(tǒng)計，僅 2022 年上半年，人民銀行及銀保監(jiān)會向各類金融機構(gòu)（包括銀行、保險公司和非銀支付公司等）共開出 685 張數(shù)據(jù)罰單，罰款金額約為 6.2 億元，同比增長 67.5%。

為加強中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理工作，2023 年7 月，中國人民銀行起草了《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿））》（以下簡稱《征求意見稿》），劃定數(shù)據(jù)處理者管理客戶資料的”紅線“，此舉意味著央行正在積極探索數(shù)據(jù)安全管理的規(guī)范和措施，也對銀行業(yè)務(wù)數(shù)據(jù)安全提出了新的要求。

《征求意見稿》對數(shù)據(jù)處理者如何進行數(shù)據(jù)分類分級、數(shù)據(jù)安全保護和合規(guī)要求進行了明確規(guī)定。首先，數(shù)據(jù)處理者應(yīng)建立數(shù)據(jù)分類分級制度規(guī)程，根據(jù)中國人民銀行的重要數(shù)據(jù)識別標(biāo)準(zhǔn)，統(tǒng)一對數(shù)據(jù)進行分級，并落實相應(yīng)的網(wǎng)絡(luò)安全等級保護和風(fēng)險評估義務(wù)，進一步做好數(shù)據(jù)敏感性、可用性層級劃分，以便在全流程數(shù)據(jù)安全管理中更好采取精細化、差異化的安全保護管理和技術(shù)措施。

其次，數(shù)據(jù)處理者要壓實數(shù)據(jù)安全責(zé)任，建立數(shù)據(jù)安全問責(zé)處罰制度和全流程安全管理制度，并制定相應(yīng)的培訓(xùn)計劃，要明確各數(shù)據(jù)處理環(huán)節(jié)所需的安全保護管理和技術(shù)措施，以滿足數(shù)據(jù)處理活動的合規(guī)底線要求，明確處理使用客戶數(shù)據(jù)的規(guī)范，切實保障客戶數(shù)據(jù)的安全。

另外，數(shù)據(jù)處理者需要建立安全風(fēng)險監(jiān)測和告警機制，加強數(shù)據(jù)安全風(fēng)險情報的監(jiān)測、核查、處置和共享，并制定相應(yīng)的應(yīng)急預(yù)案、演練、事件處置、風(fēng)險評估和審計工作流程。中國人民銀行及其分支機構(gòu)有權(quán)對數(shù)據(jù)處理者的數(shù)據(jù)安全保護情況進行執(zhí)法檢查，并對數(shù)據(jù)處理者違反規(guī)定的行為進行相應(yīng)的法律責(zé)任追究。

《征求意見稿》的發(fā)布對我國金融領(lǐng)域數(shù)據(jù)安全保護制度的建立起到規(guī)范作用，其提出“誰對業(yè)務(wù)負責(zé)，就要對業(yè)務(wù)數(shù)據(jù)負責(zé)”、”誰對業(yè)務(wù)數(shù)據(jù)負責(zé)，誰就要承擔(dān)保障數(shù)據(jù)安全的任務(wù)“的中心主旨劃定了銀行合規(guī)處理客戶數(shù)據(jù)的紅線，勢必會有效促進銀行對客戶數(shù)據(jù)依法合規(guī)利用。

銀行業(yè)常見數(shù)據(jù)安全保護措施

如上文所言，銀行業(yè)面臨復(fù)雜危險的網(wǎng)絡(luò)環(huán)境，統(tǒng)計資料顯示泄漏在互聯(lián)網(wǎng)上的民眾數(shù)據(jù)信息中 60% 來自銀行等金融業(yè)，不難看出，銀行業(yè)已成為黑客最青睞的攻擊目標(biāo)。面對如此嚴(yán)峻安全形勢，銀行應(yīng)該在政策背景的要求下，注重技術(shù)與管理并重，積極做好信息安全保護策略，以應(yīng)對應(yīng)對網(wǎng)絡(luò)安全和數(shù)據(jù)安全的挑戰(zhàn)。

1.建立強大的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

銀行應(yīng)投入資金和資源，建立全面的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，包括但不限于使用高性能的防火墻系統(tǒng)來監(jiān)測和過濾網(wǎng)絡(luò)流量，以防止未經(jīng)授權(quán)的訪問和攻擊。此外，還應(yīng)該部署完善的入侵檢測和防御系統(tǒng)，以便可以及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵，并采取相應(yīng)的措施進行應(yīng)對和防御。

2.加強員工安全意識教育和培訓(xùn)

從以往發(fā)生的銀行數(shù)據(jù)泄露事件來看，許多都是人為因素，完全可以避免。因此，銀行應(yīng)定期組織網(wǎng)絡(luò)安全意識教育和培訓(xùn)活動，以提高員工的安全意識和技能。同時，員工也應(yīng)該保持警惕，不點擊來自未知來源的鏈接或打開可疑的電子郵件附件，學(xué)會識別網(wǎng)絡(luò)釣魚、惡意軟件等常見網(wǎng)絡(luò)威脅。

3.加快新設(shè)備更新迭代的步伐

銀行業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻，其中銀行陳舊設(shè)備的漏洞問題對數(shù)據(jù)安全構(gòu)成嚴(yán)重威脅，再加上舊設(shè)備可能缺乏強大的加密算法和多層防御機制，無法有效應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)攻擊，黑客可以利用這些漏洞輕而易舉地入侵銀行系統(tǒng)，竊取客戶敏感信息或干擾金融交易流程。因此，銀行迫切需要加快更新陳舊設(shè)備，引入更先進的技術(shù)和安全措施，以防范潛在的漏洞帶來的數(shù)據(jù)安全問題。

4.建立合規(guī)的數(shù)據(jù)存儲和處理機制

銀行應(yīng)嚴(yán)格遵守相關(guān)的法律法規(guī)和監(jiān)管要求，并建立合規(guī)的數(shù)據(jù)存儲和處理機制。例如將客戶數(shù)據(jù)存儲在安全的數(shù)據(jù)中心中，并采取適當(dāng)?shù)奈锢砗瓦壿嫲踩胧?。此外，銀行還需要限制對敏感數(shù)據(jù)的訪問權(quán)限，并建立完善的審計跟蹤機制，以監(jiān)控數(shù)據(jù)的訪問和使用情況，要定期備份數(shù)據(jù)，并測試數(shù)據(jù)恢復(fù)能力，以應(yīng)對數(shù)據(jù)丟失或災(zāi)難事件。

5.及時報告和應(yīng)對數(shù)據(jù)安全事件

銀行應(yīng)建立健全的安全事件響應(yīng)機制，包括成立專門的安全團隊負責(zé)處理安全事件，這樣的話一旦發(fā)生安全事件時，銀行應(yīng)及時報告有關(guān)監(jiān)管機構(gòu)和客戶，并采取相應(yīng)的措施進行應(yīng)對和恢復(fù)。同時銀行還可以積極參與信息共享平臺，與其他金融機構(gòu)共同應(yīng)對網(wǎng)絡(luò)安全威脅，通過共享情報和經(jīng)驗，提高整個行業(yè)的安全水平。

僅僅依靠銀行自身的安全措施，很難徹底保障客戶數(shù)據(jù)安全，因此銀行應(yīng)積極與政府、其他金融機構(gòu)和網(wǎng)絡(luò)安全專家合作，共享情報、交流經(jīng)驗，通過加入網(wǎng)絡(luò)安全合作組織，建立安全漏洞數(shù)據(jù)庫，定期參與安全演練和滲透測試并及時采取措施進行修復(fù)和改進，共同應(yīng)對網(wǎng)絡(luò)安全威脅，打造出銀行-安全公司-政府“三位一體”的立體化網(wǎng)絡(luò)安全體系。