银行信息安全 关键在于治乱的决心

现今,银行是每个人日常生活中不可缺少的一部分,银行除了替我们保管钱财之外,诸如个人基本资料、消费清单、借款记录、账号密码等,同样都归银行保管,而这些信息的安全也直接与那些被保管的钱财息息相关,一旦出现泄密,损失将不可估量。

相对来说,现金是被牢牢锁在银行保险柜里,保护力度大,安全系数高,但与钱财相关的信息却在计算机系统里每天大量高速地流转,一旦这些信息被泄露,那么很可能意味着相应的钱财将被非法转移。现实生活中因为信息泄露导致银行卡被盗刷的例子已不在少数,如2012年3.15晚会上多家银行被曝内部人员私售客户个人信息,导致银行客户资金被盗,损失3000多万元,着实让人心惊。就算没有金钱损失,泄露的信息也会被垃圾广告商利用,对人们生活进行残酷的骚扰,严重摧残了人们的精神。

从这些案例,我们不难看出银行的信息安全管理存在很多不尽如人意的地方。银行机构由于垄断性,缺乏市场竞争精神,导致内部信息安全控制驱动力不够,安全防护措施不足。目前银行信息防泄露项目主要还是由银监会等政府机构推进,被动应付监管与主动担负保护储户信息安全相比,无论从意识还是行动上都滞后很多,效果自然也不会好到哪里去。

我们从银行信息安全现状进行分析,针对如何防止信息泄露,归结起来可以有以下三点:

第一,用法严苛,威震邪侈。加大对非法泄露行为的惩罚力度,令“内鬼”不敢轻易违规。刑法修正案(七)规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。该法案一方面由于实操性不够强,往往得不到有效执行;另一方面可能也因为威慑力不够,而收效甚微。因此可以加强在罚款与刑罚方面的力度,无重典不足以树威信。

第二,定期评估,及时整改。风险评估是信息安全的基础,但是往往成为一次性事件,或者没有合理的规划,这使得防护措施不能与风险级别无法保持及时的匹配,最终防护效果大打折扣。信息安全是企业长期的工程,风险评估需要定期进行,然后根据评估结果及时调整策略,以保证防护力度持续有效。根据国际通行的信息安全管理标准ISO27001,一年进行一次风险评估是比较合适的。目前央行正部署银行业金融机构网络与信息安全检查工作,这显示了国家对银行信息安全的重视,而更重要的是让安检工作落到实处,并且以后定期开展,发现问题及时整改,如此才能确保银行信息系统的长久安全。

第三,技术给力,管控有效。真正给力的技术是确实能够产生威慑效力的,比如对敏感的区域或者计算机操作行为进行审计,审计记录只能查询不能删除。作案人员在进行违规操作时必然是不会被逮住的侥幸心理,如果进行操作审计,那么必然会动摇这种心理,使其犹豫再三最终选择放弃。又比如防止随意查询客户个人信息,最近多家银行备战Pad办信用卡,通过这种数字终端,当客户登记登记完信息后,有客户信息的页面只停留数秒钟便自动关闭,所有客户资料进入后台,业务员没有时间进行查询。总之要使作案人员有所顾忌,而不是视管控如无物。

著名财经分析师时寒冰在《财经郎眼》中谈到房价居高不下时说到,其实只要政府有决心,房价问题是很容易解决的。银行信息安全问题跟高房价一样,只要银行自己有决心,自然能够药到病除,令犯罪分子闻风丧胆。其后让广大群众放心,信用评级自然水涨船高。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注