对金融机构(银行、保险、证券、基金)来说,客户银行卡号、保单信息、客户帐号、交易数据、账目信息、融资投资信息、大客户信息、上市公司中报/年报等都属于敏感数据,关系到客户和金融机构的直接经济利益。
从银行业来看,3.15事件中,几家银行的数据都是由内部员工通过“正常”流程窃取并用于牟利的,属于内外勾结作案。“内外勾结作案对银行来说是最难防范的信息安全隐患。”一家商业银行信息科技部运维负责人这样说道。“即使采用了最严密的技术手段,让员工没有机会拷贝走数据,但是能接触到客户信息的员工仍旧能够通过抄写、手机拍照等方式拿到数据。”
除了内部员工作案,还有带有不正当企图和目的的服务商,借助给银行做服务的机会,进入银行内部,也有可能拿到银行的客户信息。过去曾经有过这样的案例:合作伙伴为银行做系统维护,趁陪同的银行工作人员转身、低头的空当,用U盘考走了银行的客户信息。每家银行的科技部门都会有设备提供商、软件开发商、维护服务商频繁进入。这种信息泄露的途径对银行来说也是防不胜防的。
“第三方商业伙伴也是银行客户信息泄露的一个途径。”该商业银行运维负责人这样认为。“电子商务发展迅猛,电商的支付系统也存在信息安全隐患。客户在电子商务网站上消费,最后一步总是支付,支付就要输入银行卡号和密码,同时留给电子商务网站配送地址和联系方式。有的电子商务网站就将这些信息截留了。我们在人民银行或其他监管部门组织的研讨会上也提过这个问题,希望主管部门去规范第三方的行为。”
银行的信息化水平在各行业中是比较高的,对客户信息保护的手段也比较先进。除了以上三种途径难于防范,其他的信息泄露途径大多可以通过技术手段去阻止。
0 Comments