银行业首张网络安全罚单江苏江南农商行被罚30万
6月19日,江苏银保监局公布了对于江苏江南农村商业银行股份有限公司(以下简称“江苏江南农商行”)的行政处罚。处罚信息显示,江苏江南农商行因网络安全工作严重不足,江苏银保监局根据《中华人民共和国银行业监督管理法》第四十六条第(五)项,罚款人民币30万元。
江苏江南农商行罚单
如无疏漏,根据银保监会官网查询结果,江苏江南农商行是首家因为网络安全问题被处罚的银行,这张罚单也是银行业第一张网络安全罚单。
或因内部组织建设存在问题
案由为:网络安全工作严重不足,处罚依据为《中华人民共和国银行业监督管理法》第四十六条第(五)项。
《中华人民共和国银行业监督管理法》第四十六条规定银行业金融机构有下列情形之一,由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证;构成犯罪的,依法追究刑事责任:
(一)未经任职资格审查任命董事、高级管理人员的;
(二)拒绝或者阻碍非现场监管或者现场检查的;
(三)提供虚假的或者隐瞒重要事实的报表、报告等文件、资料的;
(四)未按照规定进行信息披露的;
(五)严重违反审慎经营规则的;
“严重违反审慎经营规则”是一个非常宽泛的条款,有很多问题都会触发这项条款,比如将消费性贷款放入楼市等等。因此,虽然知道江苏江南农商行存在网络安全问题,但具体是什么问题,我们无从得知,只能进行猜测。
《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》要求,银行运营为金融行业中的关键业务。
因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。
从这个角度出发,银行需承担网络安全义务非常重,而相关的规范规定更是数不胜数,在今年就发布有《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《商业银行应用程序接口安全管理规范》等等多个规范。
以下是吴丹君律师团队整理的银行业网络安全相关法律规范条例,从银行不同角度出发,对涉及到的条款进行了分类。
银行业网络安全法律规范(部分)
大致上,银行业网络安全分为两个部分,一部分是技术建设,包括信息系统开发,相关安全技术使用,风控系统建设等等。
另外一部分是制度建设,包括银行部门架构、员工管理制度、内部风险控制等等。
据业内人士透露,江苏江南农商行购买了不少安全产品,覆盖多个领域。因此,此次江苏江南农商行被罚不太可能是因为安全风控技术问题,更有可能是内部组织建设没有到位。
但是也有媒体爆出,江苏江南农商行的安全系统在2015年就存在重大漏洞,其中一个漏洞是中间件弱口令漏洞,可以通过它轻而易举地进入数据库,从而获取用户信息。
江苏江南农商行中间件弱口令漏洞演示
目前为止,对江苏江南农商行被处罚的具体原因还处于猜测当中。
网络安全:银行数字化转型之难
去年,是银行业数字化运营的兴起之年。不论是国有大行还是股份制、城商行,都在从各个方面探索数字化转型的方向和路线。
加强在金融科技、信息技术、互联网技术上的投入是所有银行共同的做法。近两年,银行业务的线上化、数字化步伐在不断加快,基本形成了包括网上银行、手机银行、直销银行、微信银行以及小程序等在内的线上全渠道服务能力。
这样的好处显而易见,增加了客户接触渠道,加快了业务效率,减少了线下成本,可以更好的推广业务等等。但是相应的网络安全风险也增加了。
当前,银行已成为国内外敌对势力、黑客组织、不法分子实施网络攻击、电信诈骗和渗透窃密的重点目标,除了传统的SQL注入、DDOS攻击、病毒木马等常见攻击外,针对银行的APT攻击、精准式网络攻击等攻击手段也愈演愈烈。
而银行业务在转为线上时,系统可能未经过充分的安全评估和测试便“带病”上线,难免在上线后出现各类安全漏洞,严重影响信息系统稳定运行。
因此,银行在抓住金融科技助力银行科技转型升级的同时,也应寻求其在银行网络安全风险管控的有效着陆点,这对提升银行网络安全运营管理水平,特别是中小型银行有着重大意义。
在目前的监管形式之下,加强网络安全建设以及相关组织建设,或是银行数字化转型的必然之路。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。