银保监会1号处罚来了!案由竟然是...
刚刚,银保监会公布了2021年会层面的第1号罚单。
可以看到,农行因多项信息系统和网络方面的问题,被银保监会处以420万元罚款。具体问题包括:
发生重要信息系统突发事件未报告 制卡数据违规明文留存 生产网络、分行无线互联网络保护不当 数据安全管理较粗放,存在数据泄露风险 网络信息系统存在较多漏洞 互联网门户网站泄露敏感信息
通过查询可知,近年来,监管对于系统和网络方面的问题越来越关注。十年来,银(保)监会公开的、与系统相关的处罚有16单,其中13单都集中在最近三年。
事实上,随着金融科技的发展,大量银行业务由线下转为线上,交易链条不断延伸,金融机构生产交易系统之间、以及与外部合作机构系统之间的信息交互明显增多。但是,由于部分机构安全风险防范意识不足,内控管理不到位,技术措施和管理手段缺失,生产交易系统安全风险增大。
因此,银保监会近年来也是屡屡发文提示此类风险,并加强了相关风险的检查。
而对于银行们来说,不仅要吸取现有案例的经验教训,还应当以此为鉴,认真开展自查,采取有效防范和应对措施,防止类似风险事件再次发生。
一是切实提高安全风险防范意识,强化内控管理。加强信息科技风险整治力度,确保信息科技资源投入合理、到位。建立健全科技岗位监督制约机制,严格落实开发与运维岗位分离要求。
二是开展安全隐患排查,修补系统安全控制缺陷。重点排查各类生产交易系统在异常交易场景下业务流程的完备性和安全性,确保交易环节中重要业务数据的完整性校验、加密等措施能够有效防范数据篡改、泄露和重放攻击等风险。
三是严格落实开发、运维、外包管理制度。坚持规范编程,严禁将数据库用户账号和口令明文写入系统源代码,强化安全测试,加大源代码安全审查力度;各项运维操作集中通过堡垒机实施,加强运维用户分级管理,严格管控运维操作用户权限,定期审计运维操作日志。