数据泄漏事件多发,如何确保数据更安全?
金融监管总局近日向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》)。《通知》中披露了近两年金融业出现的一些数据泄露事件,再次给行业敲响警钟,要求行业提高对网络和数据安全风险的防范水平。
《通知》披露了多起金融机构外包服务商出现的数据泄露事件,此外,还指出了金融机构在通过企业微信服务进行数字化转型时出现的数据泄露问题。据了解,某虚拟数据室平台也成为波及全球的CLOP勒索事件的受害者,导致其合作公司受到不同程度的影响。这些数据泄漏事件反映出金融业仍然面临着不容小觑的数据泄漏风险。
《中国银行保险报》与亚信网络安全产业技术研究院发布的《金融行业网络安全白皮书(2020)》显示,金融隐私泄露事件大约以每年35%的速度增长。面对如此严峻的安全形势,金融机构更应该提高对于数据安全的重视程度,正视风险、总结经验,更好地确保数据安全。
一
数据泄漏成本高昂,谁来为此买单?
数据滥用与泄漏是数据安全的风险源头。《中国政企机构数据安全风险分析报告》显示,数据泄漏已经超越数据破坏成为数据安全最大风险,2022年全球数据安全事件中数据泄漏事件占比高达51.7%。数据泄漏的风险不仅影响着金融机构的目标组织及其客户,还会影响其业务合作伙伴,如资本公司、银行、律所和审计等,与金融科技深度融合的行业无一不面临着数据泄漏、数据泄漏等数据安全风险。
以银行业为例,银行业是典型的数据密集型行业,收集、利用、保护数据是银行业务的核心,与之相对的是银行数据交互场景多样,如开放平台、第三方营销、市场咨询采集等均存在大量的数据交互,在存储、传输和交互流转的过程中,黑客攻击、员工行为等多种因素都可能导致数据泄漏;同时,在数据共享的过程中,数据通过不同渠道在不同网络、应用间流动,用户授权容易泛滥,存在过度授权的风险。
一旦发生数据泄漏事件,用户就面临着隐私泄漏的风险。国家计算机病毒应急处理中心的数据显示,2023年第一季度发生的数据泄露事件中71%的被泄露信息为公民个人信息;根据咨询机构Verizon近日发布的《2023年数据泄漏调查报告》(DBIR)显示,74%的金融和保险行业数据泄漏事件涉及个人数据泄露,大幅领先于其它所有行业。金融行业涉及到大量受保护的个人信息,如身份证号码、邮箱地址、社保号码等。这些信息一旦泄漏,将对其个人财产安全构成极大威胁。
企业也承担着高昂的数据泄漏成本,国际商业机器公司(IBM)发布的《2022年度数据泄漏成本报告显示》,全球数据泄漏的平均总成本高达423万美元,对于企业来说,这一高昂成本体现在交易过程、公司声誉、被泄露数据赎回、安全漏洞修复等各个过程中。
近日,某知名虚拟数据室平台也发生了数据泄漏事件。作为并购交易中大量数据的安全存储库,也是首次公开发行(IPO)、资产剥离、重组、融资和授权交易中的数据存储库,其客户包括多家金融公司。本次事件中,客户公司的部分项目数据、超过800人的个人信息发生泄露,熟悉此类交易的行业律师表示,目标公司已经开始潜在的出售过程,这一事实通常会被视为高度敏感的信息,因此该平台此次的数据泄露可能会让潜在目标非常担心。
数据安全事关用户权益、企业的商业运转,其影响可能从金融机构扩大至行业间,甚至威胁国家安全。作为金融行业的风险底线,金融机构更应该提高对网络和数据安全的重视程度,将数据安全作为最重要的决策考量。
二
企业如何确保数据更安全?
网络犯罪愈演愈烈,面对无孔不入的攻击,确保网络和数据安全成为金融机构和相关行业迫在眉睫的需求。在实施层面,企业可以从以下角度出发:
其一,健全数据合规管控制度。企业首先应参照国家的数据安全标准,明确数据使用的合规要求和安全红线,建立适用于公司内外部的“数据保护责任制度”。同时,根据数据本身的分级分类,制定不同的使用、保护规则,形成差异化的安全策略。
其二,增加金融科技网络安全投入,升级数据安全防护技术。一方面,要加强硬件资源投入,确保硬件性能能够满足日常业务工作,另一方面,也要加强科研投入,激励和保护网络安全的科研成果和创新。在此基础上,强化大数据应用场景下的数据安全防护,引入新成果、新技术全方面升级数据安全防护。
其三,强化第三方数据安全管理。在选择合作伙伴时将安全性作为最重要的考量,制定开展合作的管理规范,明确第三方机构的职责和风险应对举措。也可以借鉴新加坡金融管理局(MAS)的做法,将重要的外包服务商纳入监管范围内。此外,还可以定期对其进行审计。
如何从众多服务商中挑选有技术保障且持续安全可靠的服务商作为合作伙伴?这是许多企业在寻求网络安全保护时面临的难题。
在投资、并购及破产重组相关领域中,业内人士非常流行使用虚拟数据室(VDR)产品。这是因为在保证交易安全、提供文件加密传输与分享方面,业内领先的虚拟数据室平台能够在文件层面实现锁定、使用多层密钥管理来保护系统,并对特定设备设置限制信息访问权限,同时保留审计追踪、管理登录要求,此外还能提供相关的报告和分析以供监管和非监管行业的全面审计。
目前,数据隐私领域的最高标准是ISO 27701认证。SS&C Intralinks是业内首家获得该认证的虚拟数据室服务商。此外,Intralinks还是首家获得TISAX认证的虚拟数据室,这是所有参与德国汽车供应链的第三方供应商、合作伙伴以及OEM厂商必须取得的强制认证标准。
作为备受业内认可的金融科技服务商,Intralinks长期服务于全球并购交易撮合、另类投资及资本市场领域。自成立以来,已有超过35万亿美元的金融交易通过Intralinks平台实现,Intralinks也从未发生过任何网络安全和数据泄漏事件。
Intralinks致力于协助企业开展各种战略活动,如并购、募资、企业贷款、债务出售、破产重整、IPO以及投资者报告等。凭借多年的技术积累,Intralinks已打造了功能丰富的安全的云端科技,能够保证数据在存储和发送过程中的安全性,保护并购流程中的重要文件、大大降低交易风险。
网络和数据安全风险不容小觑,《通知》再次给行业敲响警钟。在严峻的网络安全形势下,Intralinks也将加大研发力度,提供解决方案,作为值得信赖的合作伙伴,与企业共同确保数据安全。
免费下载《网络安全检查清单》并参与网络数据安全评估
新瑞鹏|多点Dmall|比亚迪|药师帮|绿联科技
乐视网|古瑞瓦特|特斯拉|友宝在线|奥拉股份
星宸科技|蔚来汽车|瑞浦兰钧|融通高科|花房集团
国美|纵目科技|核酸检测|丰趣海淘|蜂巢能源
软银|美团|360数科|SHEIN|日联科技
远程汽车|赛力斯|喜茶|三只松鼠|图森未来
极氪|巨子生物|蕉下|神州系|广汽埃安
自游家汽车|宁德时代|大成精密|猪八戒网|安达科技
爱驰汽车|海天味业|天地壹号|中创新航|法拉第未来
蜜雪冰城|睿联技术|敷尔佳|复星集团|理想汽车
京东|途虎|零跑汽车|蓝城兄弟|碧桂园
岚图|晶正电子|阿维塔|智己汽车|天齐锂业
每日优鲜|苏宁|思必驰|华大智造|联川生物
奇点汽车|达梦数据|巨湾技研|创米科技|哪吒汽车
民生健康|RENOGY|米哈游|亿咖通|中芯系
大型峰会回顾:
“万物资生 福启未来”第十一届中国股权投资年度峰会 2023上市公司智能产业对接会 2022第十四届中国高新技术产业投资峰会 2022投资中国-战略新兴产业投资对接会 智者谋远·2021中国股权投资年度峰会 2021第十三届中国高新技术产业投资峰会
2021中国电子信息产业投资峰会
第十三届光博会暨2021粤港澳大湾区新兴产业发展大会
投资家网粤港澳大湾区知名企业行—走进腾讯
涅槃重生——投资家网2020中国股权投资年度峰会
聚势待发——投资家网2019中国股权投资年度峰会
资本破局—2019中国基金合伙人(GPLP)峰会
回归价值投资—2018中国股权投资年度峰会
寻求报道:yangqin6060(微信)
商务合作:yangqin6060(微信)