2.1 金融行业信息安全态势
金融机构最初的信息安全工作,大都是以达成金融行业的监管要求作为主要和基础的目标,如银行业信息科技部门会围绕《商业银行信息科技风险管理指引》来构建安全组织架构,形成安全管理制度和流程,建立安全检查、风险评估和整改机制,这时候的信息安全从业人员大多处于“管理流派”。2010年前后说起信息安全,业内人士开口闭口就是防病毒、“IPS/IDS”“WAF”“DLP”等,“设备流派”占据主流;而最近几年说到信息安全,不说些安全态势感知、安全大数据分析、人工智能等概念,就明显落伍了,“数据流派”俨然引领潮流。
但是,不管是“管理流派”“设备流派”还是“数据流派”,金融行业的信息安全人员都清醒地知道,监管要求越来越严格,信息安全形势越来越严峻,攻击技术手段越来越进化。金融企业需要清楚分析面临的监管要求、外部形势和内部需求,然后针对性地制订安全战略规划、安全管理和技术架构,进而在安全管理和安全技术方面落地实施,方可立于不败之地。
1.金融行业信息科技监管趋势
金融行业业务已经高度信息化、自动化、流程化,向客户提供的所有服务和日常运营基本都依赖信息系统开展。金融行业信息科技从业者们很明显的一点感受就是,无论内外部审计还是监管检查,无论检查重点是针对哪一类的金融业务,信息科技都是配合部门之一。另一方面,金融行业的业务战略都需要信息科技战略的支撑,业务目标最后都可能转化为对信息科技工作的需求。
金融行业信息科技风险具有影响范围广、破坏性大、突发性强、资金损失风险高等特点,信息科技风险作为唯一可能导致全部金融业务瞬间瘫痪的风险,一直是金融行业监管的重点和难点。因此,金融行业的监管部门逐年加大了信息科技风险监管的力度。针对银行业金融机构,2009年中国银监会印发《商业银行信息科技风险管理指引》,奠定了银行业信息科技风险监管的基础,此后几年陆续印发《商业银行数据中心监管指引》《商业银行业务连续性监管指引》《银行业金融机构信息科技外包风险监管指引》等各领域的监管制度;针对证券、期货等行业,陆续出台《证券期货业信息安全保障管理办法》《证券公司信息技术管理规范》《证券期货业信息系统运维管理规范》等监管要求;针对其他金融行业,也或多或少有专门针对信息科技的监管要求。
从各类监管要求来看,信息科技监管有这样几个趋势:
·监管机构越来越重视信息科技治理,强调和重视董事会、监事会和高管层的履职情况。秉承“实质重于形式”的原则,董、监、高的履职已经不能仅限于参与几次会议、做出几项决策,而是要看信息安全风险控制的实际效果。如果信息科技管理工作或信息科技风险管理有重大缺失,就是履职不力的表现。
·监管重点从“管理为主”往“管理和技术并举”方向发展,或是要求“人防补技防”,或是要求“技防补人防”,总之“两手抓、两手都要硬”。监管的现场检查、风险提示等,都已经从组织架构、制度建设、流程机制等管理层面,延展到业务流程设计、企业技术架构、系统逻辑设计等具体和实质的技术控制和实现层面。
·对于信息科技部门职责的规定和约束,逐渐精细化、具体化、层次化,信息科技风险防控要求涵盖信息科技工作的方方面面。
·信息科技风险管控不仅是信息科技部门的责任,还要求全行风险管理部门、内控合规部门、稽核审计部门都参与其中,各司其职,存在制约、促进的关系。
·信息科技风险管控与业务密不可分,业务逻辑风险控制、业务需求匹配度和业务功能满足度、业务效益后评价、业务外包中的信息科技活动等,都延伸至业务部门。
·信息安全意识培训和教育,要求针对全员开展,提升全员意识,突破了信息科技人员的范畴。
·监管手段逐渐向技术化发展。除了在监管指引上逐步完善之外,非现场监管数据化、现场检查工具化的趋势较为明显,监管科技的发展已经从初露端倪到如火如荼。
2.金融行业面临的外部信息安全态势
由于金融行业的服务几乎与每个人日常工作和生活息息相关,处理的业务关乎每个人的钱袋子,服务结果又要求必须实时和高度准确,因此,面临的外部信息安全态势也是在各行各业中最为复杂和严峻的。以下主要分析金融企业几个重要的利益相关者:客户、合作机构以及外部攻击者的信息安全态势。
(1)客户方面
随着移动互联网的发展和金融科技的演化,金融企业的客户越来越少地接触实体门店,取而代之的是电子渠道,客户更多以互联网作为触点来使用金融企业的服务。
但是客户在享受互联网便利性的同时,也承担着互联网带来的风险,因此近年来由于客户信息安全意识不强导致的金融行业风险事件屡见不鲜,例如,由于客户受到不良诱导、客户对银行卡等介质保管不善、客户自身信息泄漏、客户口令设置脆弱(如弱口令、不同场景单一口令等)等导致的风险事件,各种各样的电信诈骗事件、钓鱼网站事件也持续不断地出现。客户信息安全意识教育成为金融行业亟待深化开展的重点工作。
(2)外部合作商方面
金融行业的服务提供需要大量的外部合作商,既包括业务合作方,也包括外包供应商。合作商的信息安全管理不善、员工主动泄密等,对金融行业的信息安全也形成一定的威胁。2015年电视台曝光了某金融机构客户信息泄露导致资金损失的事件,事后内部调查发现,原因是负责卡片寄送的合作机构员工有心收集并贩卖客户信息。外部合作商虽然引入了一定的信息安全威胁,但不能因噎废食,需要通过合作协议约束、信息交换最小化限制、技术防范等方式,尽可能降低合作的风险。
(3)攻击者方面
伴随着金融业务全球化、移动互联网和金融科技的发展,虎视眈眈的攻击者们也在随之转换方法和重点,对金融机构的攻击数量和质量持续提高。
从近年来发生的大型攻击事件看,攻击既针对金融企业的基础设施和员工,也针对其外包商或客户;既针对ATM、SWIFT、电子银行等传统系统,也针对社交媒体、区块链、云计算等新兴技术;既针对金融行业的服务器,也针对终端设备。概括来说,攻击重点与时俱进,攻击手段变化多端,攻击目标无孔不入,给金融行业信息安全带来了巨大的威胁和挑战。“打铁还需自身硬”,金融企业本身就是具有经营风险的企业,外部攻击是必须面对和解决的问题,强身健体、见招拆招,方为正道。
3.金融行业内在的信息安全管理需求
在监管要求日益提高、外部安全态势日益复杂的情况下,金融企业基于自身的业务发展和安全需要,也会提出大量的信息安全管理要求。
金融行业的信息安全管理有着不同于其他行业的特点,最主要的几个特点如下:
·金融行业整体信息化程度高,而且未来趋势是进一步的数字化、智能化,这就意味着被攻击的风险点增多,薄弱环节增加,脆弱性增大,遭受攻击的可能性上升。
·金融服务实时性和准确性要求高,对于信息安全问题的容忍度低,出现问题后社会影响大,舆论压力大。
·金融行业直接处理对象为资金,敏感信息价值高,对于攻击者来说获利性大,铤而走险的动机强烈。
·金融行业积极应用新技术,但信息安全防控往往滞后于新技术应用,导致面临的新风险无法得到及时有效的控制。
因此,金融企业的信息安全工作要求也会高于其他行业,在深度和广度上都必须兼顾,需要从组织架构、制度流程、团队能力、安全意识、外包管理、安全技术等各方面,统筹做好规划和落地实施,方可满足自身的需要。