科技外包為保險(xiǎn)等金融機(jī)構(gòu)提升服務(wù)能力的同時(shí)
,其所帶來(lái)的運(yùn)用風(fēng)險(xiǎn)也不容小覷。
【資料圖】
6月28日
,北京商報(bào)記者從業(yè)內(nèi)獲悉,國(guó)家金融監(jiān)督管理總局近日發(fā)布《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(以下簡(jiǎn)稱《通知》),其中,保險(xiǎn)機(jī)構(gòu)對(duì)數(shù)字生態(tài)場(chǎng)景合作情況底數(shù)不清、對(duì)外包服務(wù)商的準(zhǔn)入控制不嚴(yán)、對(duì)外包服務(wù)的應(yīng)急管理機(jī)制不健全等問(wèn)題被擺上臺(tái)面。在業(yè)內(nèi)人士看來(lái)
,保險(xiǎn)機(jī)構(gòu)需要根據(jù)《通知》指出的問(wèn)題進(jìn)行一次全面排查和整改,舉一反三。從行業(yè)角度出發(fā),在提升數(shù)字化水平的同時(shí),還需要圍繞產(chǎn)業(yè)發(fā)展共性需求 ,加強(qiáng)數(shù)據(jù)安全服務(wù)供給
。01 多重風(fēng)險(xiǎn)遭點(diǎn)名
繼2022年初原銀保監(jiān)會(huì)強(qiáng)化保險(xiǎn)信息科技外包風(fēng)險(xiǎn)整頓規(guī)范后,又一針對(duì)科技外包風(fēng)險(xiǎn)的利劍“高懸”
。
整體來(lái)看
,《通知》從企業(yè)微信服務(wù)風(fēng)險(xiǎn)情況
、科技外包風(fēng)險(xiǎn)情況兩方面指出了保險(xiǎn)機(jī)構(gòu)當(dāng)前面臨的主要風(fēng)險(xiǎn)和問(wèn)題。
!澳硥垭U(xiǎn)公司采購(gòu)部署的第三方軟件產(chǎn)品‘保融第三方簽約平臺(tái)’,在網(wǎng)絡(luò)攻防演習(xí)時(shí)被發(fā)現(xiàn)其前端管理頁(yè)面的JS文件中明文寫有管理員賬號(hào)及密碼,攻擊者可利用該賬號(hào)繞過(guò)前端驗(yàn)證直接登錄系統(tǒng),并查詢包含個(gè)人敏感信息在內(nèi)的所有數(shù)據(jù),存在敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)。”從企業(yè)微信服務(wù)風(fēng)險(xiǎn)情況來(lái)看,《通知》指出的主要風(fēng)險(xiǎn)和問(wèn)題為
,一是保險(xiǎn)機(jī)構(gòu)對(duì)數(shù)字生態(tài)場(chǎng)景合作情況底數(shù)不清,缺乏統(tǒng)籌管理,二是保險(xiǎn)機(jī)構(gòu)對(duì)合作中數(shù)據(jù)安全風(fēng)險(xiǎn)和責(zé)任識(shí)別劃分不清。從科技外包的主要風(fēng)險(xiǎn)和問(wèn)題來(lái)看,《通知》指出
,一是保險(xiǎn)機(jī)構(gòu)在供應(yīng)鏈安全管理上履職不到位,二是保險(xiǎn)機(jī)構(gòu)對(duì)外包服務(wù)的應(yīng)急管理機(jī)制不健全,三是外包服務(wù)商的安全管理和技術(shù)防護(hù)能力嚴(yán)重不足。在《通知》中,監(jiān)管部門也列舉了保險(xiǎn)公司科技外包風(fēng)險(xiǎn)的相關(guān)事件
?div id="d48novz" class="flower left">從企業(yè)微信服務(wù)風(fēng)險(xiǎn)層面
,監(jiān)管要求開展風(fēng)險(xiǎn)自査,并且還為整改排查設(shè)置了時(shí)間期限,根據(jù)《通知》,保險(xiǎn)機(jī)構(gòu)應(yīng)按照監(jiān)管隸屬關(guān)系,于7月10日前,將風(fēng)險(xiǎn)自查和整改情況、企業(yè)微信合作情況表向國(guó)家金融監(jiān)督管理總局或銀保監(jiān)局(分局)報(bào)告。從科技外包層面,監(jiān)管要求保險(xiǎn)機(jī)構(gòu)應(yīng)強(qiáng)化“服務(wù)外包、責(zé)任不外包”的主體意識(shí),切實(shí)承擔(dān)數(shù)據(jù)安全主體責(zé)任,統(tǒng)籌管理科技風(fēng)險(xiǎn)
,壓實(shí)外包服務(wù)商安全責(zé)任,提升整體防控水平等
。
厚雪研究首席研究員于百程表示,此次
,國(guó)家金融監(jiān)督管理總局以案例風(fēng)險(xiǎn)預(yù)警的方式
,對(duì)金融機(jī)構(gòu)提出監(jiān)管要求,更具有直觀性和可操作性
,一些問(wèn)題漏洞可能在許多保險(xiǎn)金融機(jī)構(gòu)業(yè)務(wù)中都存在,比如業(yè)務(wù)如何分類上云
,如何保障敏感的信息安全、賬戶密碼的存放管理等。02 科技外包成雙刃劍
!睂?duì)于當(dāng)前外包科技企業(yè)與險(xiǎn)企合作的主要業(yè)務(wù)和形式,對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)保險(xiǎn)學(xué)院院長(zhǎng)謝遠(yuǎn)濤表示,產(chǎn)品設(shè)計(jì)、定價(jià)保險(xiǎn)業(yè)已走進(jìn)數(shù)字化時(shí)代
,智能化應(yīng)用遍地開花,為客戶帶來(lái)了更為優(yōu)質(zhì)的服務(wù)體驗(yàn),但同時(shí)也需要關(guān)注到,目前也有一些科技并未完全成熟。與此同時(shí),近年來(lái)保險(xiǎn)業(yè)務(wù)與科技高度融合,保險(xiǎn)機(jī)構(gòu)與第三方的合作逐漸增多,科技業(yè)務(wù)外包并不鮮見(jiàn)。“保險(xiǎn)公司在產(chǎn)品設(shè)計(jì)、展業(yè)
、風(fēng)險(xiǎn)管理中存在數(shù)據(jù)缺乏嚴(yán)重、流量入口窄等問(wèn)題,難免需要與第三方合作?div id="d48novz" class="flower left">、評(píng)估
,乃至獲客、展業(yè)
、風(fēng)險(xiǎn)管理中都可能合作
,廣泛運(yùn)用于保險(xiǎn)業(yè)務(wù)的產(chǎn)品、營(yíng)銷
、承保、理賠
、運(yùn)營(yíng)等環(huán)節(jié)
。
樂(lè)橙云服市場(chǎng)總監(jiān)侯珺峰對(duì)此也表示,主要業(yè)務(wù)涉及保險(xiǎn)銷售系統(tǒng)
、獲客系統(tǒng)
、團(tuán)隊(duì)管理系統(tǒng)、CRM系統(tǒng)
,主要形式為企業(yè)定制開發(fā)或模塊化使用。
而在科技外包的過(guò)程中
,風(fēng)險(xiǎn)也隨之而來(lái)
。縱觀行業(yè)
,保險(xiǎn)機(jī)構(gòu)通過(guò)科技外包
,使得業(yè)務(wù)效率不斷提升的同時(shí)
,網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)不可避免
,甚至成為了保險(xiǎn)機(jī)構(gòu)面臨的主要經(jīng)營(yíng)風(fēng)險(xiǎn)。
“網(wǎng)絡(luò)和數(shù)據(jù)安全問(wèn)題的發(fā)生
,有一些來(lái)自保險(xiǎn)機(jī)構(gòu)自身
,有一些來(lái)自技術(shù)合作方。技術(shù)合作方如果能力
、意識(shí)和機(jī)制不夠,加上金融機(jī)構(gòu)風(fēng)險(xiǎn)管理不夠或不當(dāng),就更有可能出現(xiàn)不可控的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)?div id="jpandex" class="focus-wrap mb20 cf">!庇诎俪谭治霰硎尽?/p>
在謝遠(yuǎn)濤看來(lái)
,特別是科技企業(yè)
,在數(shù)據(jù)流交互過(guò)程中可能出現(xiàn)信息泄露風(fēng)險(xiǎn)。
“風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)獲取
、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)驗(yàn)證
、數(shù)據(jù)外泄等問(wèn)題
,其中每個(gè)環(huán)節(jié)的加密,流通接口處理都應(yīng)符合網(wǎng)絡(luò)安全合規(guī)的要求
?div id="jpandex" class="focus-wrap mb20 cf">!焙瞵B峰也表示,互聯(lián)網(wǎng)保險(xiǎn)迅速發(fā)展
,但某些場(chǎng)景下的保險(xiǎn)獲客存在消費(fèi)者信息泄露的風(fēng)險(xiǎn)。03 提高數(shù)字化水平成化解風(fēng)險(xiǎn)之根
近年來(lái)
,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)的相繼出臺(tái)
,對(duì)做好金融業(yè)數(shù)據(jù)安全工作提出了新的要求。原銀保監(jiān)會(huì)在《銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見(jiàn)》《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知》中
,均將網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)作為重要內(nèi)容作出要求
,比如不得將信息科技管理責(zé)任
、網(wǎng)絡(luò)安全主體責(zé)任外包等
。
那么,基于此次發(fā)布的《通知》
,保險(xiǎn)機(jī)構(gòu)如何加強(qiáng)在網(wǎng)絡(luò)和數(shù)據(jù)安全方面的風(fēng)險(xiǎn)防范工作
?
在業(yè)內(nèi)人士看來(lái),對(duì)于數(shù)據(jù)安全治理要以數(shù)據(jù)安全管控制度為核心
,構(gòu)筑形成組織、管理
、技術(shù)、運(yùn)營(yíng)多位一體的數(shù)據(jù)安全治理體系框架
。于百程表示
,在此次《通知》中,監(jiān)管方提出了一些具體要求,保險(xiǎn)機(jī)構(gòu)可對(duì)照進(jìn)行一次全面排查和整改
,舉一反三
,在網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)管理制度
,機(jī)構(gòu)和合作方風(fēng)險(xiǎn)責(zé)任劃分
,合作方準(zhǔn)入管理,關(guān)鍵問(wèn)題排查和日常風(fēng)險(xiǎn)監(jiān)測(cè)
,以及應(yīng)急處置機(jī)制等方向
,不斷夯實(shí)、形成切實(shí)可行的長(zhǎng)效風(fēng)險(xiǎn)管理機(jī)制
。
此外
,從保險(xiǎn)機(jī)構(gòu)筑牢科技基本功層面
,還需要進(jìn)一步探索
,并在不斷地探索中實(shí)現(xiàn)智能化的穩(wěn)步提升。侯珺峰表示
,一是
,系統(tǒng)自身安全等級(jí)要高,后臺(tái)不可輕易被訪問(wèn)甚至篡改
;二是
,系統(tǒng)核心代碼數(shù)據(jù)及消費(fèi)者數(shù)據(jù)的加密處理要更嚴(yán)格;三是
,提升數(shù)字化水平,所有數(shù)據(jù)流通通過(guò)數(shù)據(jù)接口加密完成
。
不過(guò)
,由于科技投入大、重視不足等問(wèn)題
,保險(xiǎn)機(jī)構(gòu)自身科技能力的強(qiáng)化并非朝夕就能解決的易事
。在滿足監(jiān)管整改要求的過(guò)程中,還需解決多個(gè)難題
,侯珺峰表示,其中包括保險(xiǎn)核心系統(tǒng)研發(fā)成本高,早期企業(yè)數(shù)字化水平不夠且資金不足;保險(xiǎn)機(jī)構(gòu)對(duì)數(shù)據(jù)安全不重視,沒(méi)有建立具體的企業(yè)數(shù)據(jù)安全管理辦法;獲客場(chǎng)景的合規(guī)管理還需進(jìn)一步明確細(xì)節(jié)等。
下一步,為應(yīng)對(duì)潛在的數(shù)據(jù)安全風(fēng)險(xiǎn),還有待監(jiān)管
、險(xiǎn)企在內(nèi)的各方齊發(fā)力。比如如果要應(yīng)對(duì)國(guó)內(nèi)外數(shù)據(jù)合規(guī)方面的雙重要求,謝遠(yuǎn)濤認(rèn)為,企業(yè)需要在前期梳理解讀各國(guó)法律法規(guī)、中期采取適配措施滿足需求以及后期適配后的評(píng)估認(rèn)證等方面進(jìn)行較多的投入 。同時(shí)
,需要積極培育全球合作生態(tài),夯實(shí)數(shù)據(jù)標(biāo)準(zhǔn)互認(rèn)基礎(chǔ)
;圍繞產(chǎn)業(yè)發(fā)展共性需求
,加強(qiáng)數(shù)據(jù)安全服務(wù)供給
。