暗网盗卖金融信息 银行账户安全面临新挑战 银行：与真实数据不符

近日，涉及国内多家银行的数百万条客户数据资料在暗网被标价兜售的消息广为流传。尽管涉事的各家银行在进行数据比对核查之后，均否认了被兜售数据资料包的真实性，但是牵涉面甚广的庞大金融数据，尤其是银行用户涉敏信息的安全性如何保障，仍持续在行业引发关注、研讨。

截至2019年底，我国开立银行账户113.52亿户，全国人均拥有银行账户数达8.09户。这些账户安全谁来守护?尤其是，伴随银行线下业务线上化、与流量方边界日益拓宽等新变化，也给银行数据安全管理带来新挑战。

证券时报记者段久惠

用户资料遭白菜价甩卖?

银行：与真实数据不符

涉及国内多家银行的数百万条客户数据资料在暗网被标价兜售，连日来引发行业广泛关注。4月15日，一位金融安全技术人士向证券时报记者证实在暗网确有看到该条盗卖信息。

从数据安全人士此前发布的相关截图来看，被售卖信息里包含了大规模的金融机构客户数据，其中涉及上海银行80.3155万条、浦发银行10万条、招商银行上海分行6.3万条、中国农业银行90万条、兴业银行46万条。泄露的资料既有储蓄账户，也有信用卡账户及私行理财账户，含客户姓名、客户类型、性别、年龄、手机号码、开户账号、住址邮编、存款数据等信息。

“46万条银行信用卡客户数据标价不到100美元，90万条数据标价只卖3999美元(折合人民币约2.8万元)，简直是‘白菜价’。如果是真实数据，这么庞大的数据量实际售价至少10倍以上。”一位大数据行业风控总监向记者评价，尽管截图显示的样例数据非常详尽，但这么大的数据量价格却低得离谱，盗卖数据是不是真的?可信度或许要打个问号。

为了核实上述情况，证券时报记者也第一时间联系了涉事银行，兴业银行、招商银行、浦发银行态度相对一致：经过核查比对，与真实数据信息不符;不排除不法分子将不明来源数据冠以金融机构名义兜售，以牟取非法利益。

上海银行相关人士告诉记者，“进行了详细比对，发现其所谓客户信息中并无我行银行账户信息，且与我行真实客户信息的关键要素并不匹配。可认定该贩卖信息非我行泄露数据，不排除系不法分子为牟取不当利益伪造、拼凑、出售所谓银行的客户信息。”

113.5亿银行账户

谁在守护安全?

百万条被兜售的数据资料包尽管真实性被驳，但庞大的金融数据尤其是银行用户涉敏信息的安全性如何保障?这已足够引起行业及监管的重视。

央行统计显示，我国银行账户数量稳步增长，截至2019年末，全国共开立银行账户113.52亿户、同比增长12.07%。其中，全国开立单位银行账户6836.87万户、同比增长11.73%;个人银行账户112.84亿户、同比增长12.07%;全国人均拥有银行账户数达8.09户。

“银行业信息科技风控要求较高，需要符合国内外风控管理要求，包括商业银行信息科技风险管理指引、巴萨尔协议、塞班斯法案等。”腾讯安全数据安全团队负责人彭思翔告诉记者。

杭州某大型技术公司金融事业部总经理曾负责过银行物联网解决方案，涉及数据服务采集业务，他向记者举例，“设备采集的信息一般会保存在当地银行机构，在信息保存、传输安全性方面，一方面银行本身设有专网，内网、外网隔开，还有硬件设施方面的防火墙设置防护;另一方面，各家银行内部有各个层级对安全认证的严格复核管理。”

“银行的IT系统不具备大规模向外泄露数据的可能性。”某股份行风险管理部门总监向记者分析，“按银保监会的相关规定，银行业IT系统基本分为生产域、测试域、互联网域等，三个域之间的数据传输受到严格限制。只有在生产域才能看到数据的全貌，测试域只有用于测试的数据，有数据量和脱敏的相关要求，互联网域基本没有客户信息。从技术上、系统上看，大规模数据外泄讲不通。”

流量经济安全新挑战：

泄密在前端

从近期发布的国有六大行年报来看，其中有4家2019年科技投入总金额突破百亿元，最高的建设银行投入176.33亿元。截至2019年末，工商银行金融科技人员规模多达3.48万名、全员占比高达7.82%，建设银行、交通银行、中国银行、农业银行金融科技人员占比分别为2.75%、4.05%、2.58%、1.58%。

银行加大科技投入、科技人员扩容规模空前。然而，银行数据涉密各个环节，尽管被最高等级的风险防护，仍难有万全之说。

首先是不同金融机构之间、金融机构内部之间的安全能力有差异。“大中型的金融机构风险等级高，但是一些分支机构风险能力就较弱，可能账户密码保护不严密。一些地下灰黑产业，就会有组织、有目的性地去攻击，抓住一些系统平台存在的漏洞。”周君桢介绍。