隨著金融機構開放生態場景建設不斷完善，供應鏈安全成為金融行業網絡安全管理面臨的新挑戰。

近日，國家金融監管總局辦公廳印發《關于加強第三方合作中網絡和數據安全管理的通知》(以下簡稱《通知》)，近期，部分銀行保險機構的外包服務商發生多起安全風險事件，對銀行保險機構的網絡和數據安全、業務連續性造成一定影響，暴露出銀行保險機構在外包服務管理上存在突出風險問題。監管方面要求金融機構進一步加強供應鏈安全管理，保障生產穩定運行。

這是繼2021年末原銀保監會下發《銀行保險機構信息科技外包風險監管辦法》以來，對金融機構外包風險管理提出的又一細化要求。

(資料圖片僅供參考)

“既要連接又要安全。”一家金融科技子公司總經理向21世紀經濟報道記者表示，目前其所在公司正在研究探討如何防范供應鏈網絡風險。

金融網絡安全風險頻發

談及金融機構數字化轉型，“開放”“連接”“生態”都是屢被提及的關鍵詞。

然而，當信息系統走向開放，新的網絡安全問題也隨之產生，針對金融機構的網絡攻擊頻發。

事實上，涉及大量個人客戶敏感信息的金融行業一直都是黑客網絡攻擊的對象。中國信通院發布的《中國網絡安全產業研究報告(2022年)》顯示，中國網絡安全下游客戶中金融行業貢獻的營收占比為17.4%，在各行業中位居第二。從全球角度來看，據Palo Alto Networks發布的《2022年Unit42事件相應報告》指出，從行業角度來看，在過去一年中金融行業的贖金金額最高，被勒索近800萬美元。

在《通知》列出的5起科技外包風險事件中，有3起事件是金融機構由于外部服務商系統或外部工具存在安全漏洞，被黑客攻擊導致客戶信息泄露，甚至遭遇勒索。

“商業軟件投毒的威脅已經是目前金融機構面臨的一大挑戰。”墨菲安全聯合創始人兼COO周欣提到，近兩年，對商業軟件有意識的投毒行為呈現出較為明顯的上升趨勢，由于商業利益，金融機構也是黑產較易發生軟件投毒的領域，金融行業亟需提升對軟件投毒的警惕性。

供應鏈安全管理新挑戰

監管對金融機構信息安全與外包風險管理早有要求，而如今，金融機構正面臨供應鏈安全管理的新挑戰。

21世紀經濟報道記者從業內人士處了解到，2021年，原銀保監會曾下發《關于供應鏈安全風險提示的函(銀保監統信函[2021]371號)》，對銀行網絡供應鏈安全管理作出規范。到2021年12月30日，原銀保監會又下發《銀行保險機構信息科技外包風險監管辦法》，要求機構建立起外包管理體系，并強化相關主體責任。

“去年年初銀保監會這個文件出臺后，我們內部也出臺了相關辦法加強對外包風險管理，但側重點有所不同。”某金融機構的科技子公司總經理告訴記者，2021年末的文件主要是針對外包供應商的資質、合同等流程與機制作出管理要求，其所有的科技外包合同都要向監管報備，但本次《通知》出現的網絡風險是安全運營層面的，考驗的是機構對網絡攻擊防范、災難恢復以及與供應鏈有效隔離的能力。他提到，其所在單位正在研究防范供應鏈網絡風險，特別是與其有合作、有連接的供應商，由于自身安全問題給金融機構帶來的風險。

“金融機構現在風險接觸面明顯增大。”周欣告訴記者，過去金融機構的系統是相對封閉的，且軟件、數據大多在B端層面流動，但近年來，隨著金融機構業務能力的包裝，他們的B端合作伙伴，例如互聯網公司卻是需要對外暴露自身的接口甚至代碼，與此同時金融機構在面向C端用戶下沉時，如移動端代碼等系統信息也暴露給了C端用戶，風險接觸面的擴大加大了安全問題出現的可能。

另一個問題是供應鏈軟件的引入規模增大。周欣提到，過去金融機構的軟件大部分是自行研發的，隨著業務需求與應用場景的復雜化，金融機構采購商業軟件、外包開發、調用第三方開源軟件愈加頻繁，軟件供應鏈規模不斷增大，且軟件間的調用、依賴關系越來越復雜，風險排查的復雜性也隨之增大。

同時，很多金融機構在將服務外包出去后，整體驗收過程仍是以功能性驗收或業務驗收為主，對安全的準入標準和驗收流程是缺失的，這也導致部分供應商的安全隱患經由供應鏈帶入到金融機構內部。

亟待健全安全管理機制

在本次下發的《通知》中提到，4家省聯社因托管在某服務商的網銀系統存在越權訪問漏洞，被不法分子攻破，大量客戶信息與賬戶信息被竊取。

對此，中小金融機構的信息外包風險管理機制不足再次受到業內關注。

安永(中國)企業咨詢有限公司大中華區網絡安全與隱私保護咨詢服務合伙人張偉向記者指出，省聯社和保險公司在信息科技外包風險管理方面仍然有待加強。目前我國政策性銀行、商業銀行普遍建立起信息科技風險管理“三道防線”，信息科技外包也作為信息科技風險的重點領域納入管理范疇。但是在實踐過程中，張偉關注到省聯社和保險公司的信息科技風險管理成熟度相較于政策性銀行和商業銀行仍然存在一定差距，尤其是在信息科技外包風險管理原則的落實、信息科技外包服務事前、事中、事后的風險防控，以及信息科技外包應急處置等方面存在待提升空間。

監管部門在《通知》中指出，目前機構存在的主要風險和問題有三個方面，一是在供應鏈安全管理上履職不到位，二是對外包服務的應急管理機制不健全，三是外包服務商自身的安全管理和技術防護能力嚴重不足。

多位來自大型金融機構的受訪對象向記者表示，在安全管理機制完備的情況下，能很大程度地避免機構自身帶來的網絡安全隱患。

某券商科技部門人士告訴記者，在第三方合作協議簽訂時，其明確要求客戶敏感信息做私有化部署，且數據不得用于其他用途。另有某股份制銀行科技部門人士介紹，銀行作為強監管的行業，在核心業務系統方面大多會要求第三方平臺駐場做數據的本地化部署。

“目前各家金融機構對外包風險管理監管力度不均衡。”綠盟科技相關專家告訴記者，當下各家金融機構開展風險評估的外包商范圍不同，有的選擇性抽查開展，有的全面開展，金融機構對開展信息科技外包活動的重視度不夠，金融機構需排查對外包商分類分級的落實情況。

周欣表示，未來供應鏈風險需要透明管理。“過去軟件供應鏈風險治理是缺乏觸發該缺陷場景的檢測能力的，即便安全風險有所暴露也難以即時加以觸發和檢測，如果沒能構成安全風險的識別閉環，基本上也意味著安全風險不透明。”周欣指出，要識別出在哪些場景可以觸發安全漏洞，則需要對供應商提供的軟件進行深層次分析。

綠盟科技相關專家向記者提到，目前部分金融機構相關人員安全意識仍存在不足，他提到，現在的安全管理依舊是割裂的，工具是各部分自用的、大型組織中采購、開發、運維、安全管理團隊各自維護著自身的軟件資產，無法形成統籌，管理人員與操作人員也不具備相應的安全視角，依舊關注能力效率，不注重安全合規交付。

關鍵詞：