“誰的業(yè)務(wù)數(shù)據(jù)就應(yīng)該存在誰那兒,以后業(yè)務(wù)側(cè)出了問題�����,金融機構(gòu)不能賴賬?����!币晃淮笮行畔⒖萍疾块T負責人向記者表示���。
隨著第三方外包數(shù)據(jù)與網(wǎng)絡(luò)安全管理趨嚴,最近困擾銀行保險機構(gòu)的一個難題是����,企業(yè)微信、釘釘�、飛書等即時通訊軟件的本地化部署與數(shù)據(jù)遷移。
6月初����,國家金融監(jiān)督管理總局下發(fā)《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(以下簡稱《通知》),點名企業(yè)微信服務(wù)風險情況�,要求銀行保險機構(gòu)開展風險自查并就企業(yè)微信合作情況向監(jiān)管方面報告。
(資料圖片僅供參考)
對于銀行��、保險�、理財子公司等金融機構(gòu)而言�����,即時通訊軟件是客戶營銷、財富管理等業(yè)務(wù)板塊的必備工具��,但在客戶經(jīng)理與用戶的交流記錄中往往隱含著多類客戶個人敏感數(shù)據(jù)�����。盡管目前大型金融機構(gòu)已建立了自己的數(shù)據(jù)中心與私有云����,但部分中小型金融機構(gòu)以及部分大行業(yè)務(wù)板塊仍有相關(guān)數(shù)據(jù)在供應(yīng)商提供的公有云上留存。
對金融機構(gòu)來說�,一場數(shù)據(jù)和系統(tǒng)的私有化遷移潮正悄然展開。
圖片來源:視覺中國
第三方網(wǎng)絡(luò)數(shù)據(jù)安全遇嚴監(jiān)管
《通知》顯示��,某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù)����,將600余萬條銀行客戶經(jīng)理與客戶的會話存檔數(shù)據(jù)存檔于公有云,并將數(shù)據(jù)私自用于模型訓(xùn)練��,提供給關(guān)聯(lián)公司�,導(dǎo)致客戶敏感數(shù)據(jù)泄露引發(fā)消費者維權(quán)投訴�。
監(jiān)管在《通知》中通報的這起企業(yè)微信服務(wù)風險情況����,引發(fā)銀行保險機構(gòu)對供應(yīng)鏈數(shù)據(jù)安全的全面自查。
《通知》指出�,這一案例體現(xiàn)了兩個主要風險,一是銀行保險機構(gòu)對數(shù)字生態(tài)場景合作情況底數(shù)不清��,缺乏統(tǒng)籌管理���。在開展數(shù)字生態(tài)合作時�����,銀行保險機構(gòu)外包風險主管部門��、科技和數(shù)據(jù)管理部門未參與�,缺乏數(shù)據(jù)安全風險評估��、監(jiān)控管理等機制��,存在突出風險隱患���。二是銀行保險機構(gòu)對合作中數(shù)據(jù)安全風險和責任識別劃分不清�����。數(shù)字化轉(zhuǎn)型合作業(yè)務(wù)場景連接�,技術(shù)渠道相互嵌入,數(shù)據(jù)存儲�、交互情況復(fù)雜,銀行保險機構(gòu)對業(yè)務(wù)����、技術(shù)���、數(shù)據(jù)等方面的風險識別不清晰�,責任劃分不明確�,存在數(shù)據(jù)收集使用不合規(guī)、安全責任交叉�、數(shù)據(jù)保護存在盲區(qū)等問題。
值得關(guān)注的是����,在相關(guān)通知中,除了開展風險自查����、加強科技風險統(tǒng)籌管理�����、加強非駐場外包風險監(jiān)測和監(jiān)管報告以外����,監(jiān)管要求銀行保險機構(gòu)采取針對性安全保護措施��,其中提到:銀行保險機構(gòu)對外提供數(shù)據(jù)應(yīng)按“業(yè)務(wù)所需����、最小權(quán)限”原則進行,系統(tǒng)和數(shù)據(jù)應(yīng)優(yōu)先在銀行保險機構(gòu)本地化部署�����。加強邊界防護和傳輸保護���,建立與外包服務(wù)商的隔離防火墻�����,不通過即時通訊�����、網(wǎng)盤����、互聯(lián)網(wǎng)郵箱等不安全渠道傳輸數(shù)據(jù)。
從SaaS到私有化部署
金融機構(gòu)即時通訊軟件等系統(tǒng)的私有化部署節(jié)奏正在加速�。
“之前我們用的都是騰訊公有云的SaaS服務(wù),現(xiàn)在按照相關(guān)要求我們需要做私有化部署����。”某理財子公司科技部門人士告訴記者�����。
對于金融機構(gòu)來說�,其業(yè)務(wù)數(shù)據(jù)儲存的方式主要有公有云�、私有云、本地化部署等三種���。
儲存在公有云的數(shù)據(jù)相當于住在酒店里��,由第三方服務(wù)商提供相關(guān)服務(wù)��,機構(gòu)可通過運營商網(wǎng)絡(luò)訪問相關(guān)數(shù)據(jù)�����,在算法層面進行數(shù)據(jù)加密���;儲存在私有云的數(shù)據(jù)相當于住在租的公寓里���,機構(gòu)可以租用云服務(wù)商提供的服務(wù)器,在此基礎(chǔ)上搭建自己的系統(tǒng)����,只能通過內(nèi)部網(wǎng)絡(luò)調(diào)用數(shù)據(jù);進行本地化部署的數(shù)據(jù)相當于住在自建房中�,需要機構(gòu)自建機房、數(shù)據(jù)中心等硬件設(shè)施����,數(shù)據(jù)只能儲存在本地。
據(jù)21世紀經(jīng)濟報道記者從多位受訪人士處了解到�����,對于科技投入受限的機構(gòu)來說����,目前金融機構(gòu)的系統(tǒng)的私有化遷移主要是由公有云遷移至私有云����。
過去企業(yè)微信��、釘釘���、飛書等即時通訊軟件為金融機構(gòu)提供的SaaS產(chǎn)品��,由第三方公司提供系統(tǒng)和服務(wù)器�����,金融機構(gòu)購買賬號以開通相應(yīng)賬戶接口權(quán)限�。在這個模式下金融機構(gòu)通過軟件開展的相關(guān)業(yè)務(wù)數(shù)據(jù)留存在第三方服務(wù)商提供的公有云上���。
“如果實現(xiàn)數(shù)據(jù)和系統(tǒng)的私有化部署,就是在前端使用即時通訊軟件�,后端數(shù)據(jù)儲存在銀行本地服務(wù)器或我們自己的私有云上?�!蹦炒笮锌萍疾块T領(lǐng)導(dǎo)表示�����。
有金融機構(gòu)科技子公司領(lǐng)導(dǎo)告訴記者,其所在單位已完成了即時通訊軟件的完全私有化部署與信創(chuàng)改造���,主要用于協(xié)同辦公��。
公有云“下云”難題待解
對于金融機構(gòu)而言��,“上云”一直是數(shù)字化轉(zhuǎn)型的必經(jīng)之路�,但在數(shù)據(jù)安全管理趨嚴的背景下�,部分在公有云上部署系統(tǒng)的機構(gòu)“下云”之路卻不好走。
在2022年IBM發(fā)布的《IBM企業(yè)轉(zhuǎn)型指數(shù):云現(xiàn)狀》中提到����,80%的企業(yè)已經(jīng)考慮或正在考慮將已部署到公有云上的工作負載遷回私有的基礎(chǔ)設(shè)施,其考慮“云回遷”共有四大原因:第一是為了改善性能與減少延遲��,第二是出于安全與合規(guī)的考慮���,第三是為了避免與供應(yīng)商鎖定�����,第四是為了降低成本���,其中金融服務(wù)業(yè)就是出于安全原因率先考慮遷出公有云的行業(yè)�。
“我們目前遇到的問題是相關(guān)軟件無法把歷史數(shù)據(jù)從公有云遷移至私有云�����,包括好友���、聊天記錄���、群組等等,對理財子公司交易業(yè)務(wù)溝通對接影響很大�。”前述理財子科技部門人士向記者指出��,對于中小金融機構(gòu)而言���,一方面系統(tǒng)遷移需要投入更高的成本�����,另一方面歷史數(shù)據(jù)無法遷移的問題現(xiàn)在亟需突破。
一位曾擔任國有大行資深業(yè)務(wù)架構(gòu)師的專家向記者介紹����,很多大行在很早以前就實現(xiàn)了即時通訊軟件的私有化部署����,他認為對于金融機構(gòu)而言相關(guān)系統(tǒng)的私有化痛點主要不在于軟硬件成本�����,而在于歷史數(shù)據(jù)遷移����。
21世紀經(jīng)濟報道記者了解到,機構(gòu)“下云難”的原因有兩個方面:一是歷史數(shù)據(jù)的單向加密導(dǎo)致解密存在困難���,二是由于供應(yīng)商鎖定導(dǎo)致遷移困難����。
“存在部分數(shù)據(jù)單向加密后無法解密遷移的問題��?!鼻笆隹萍甲庸绢I(lǐng)導(dǎo)告訴記者,其目前的解決方案是歷史數(shù)據(jù)在過去的服務(wù)商公有云上用于備查����,新的數(shù)據(jù)以私有化部署落地的形式使用�,但這對業(yè)務(wù)體驗會大打折扣����,現(xiàn)在還在尋找新的解決方案。記者了解到�����,為保證存儲在第三方云平臺上的數(shù)據(jù)�,云服務(wù)商會對敏感數(shù)據(jù)使用加密算法,使用公鑰對數(shù)據(jù)進行加密����,接收者使用私鑰進行解密,而部分數(shù)據(jù)存在單向加密情況��。
也有銀行CIO告訴記者���,歷史數(shù)據(jù)向私有云遷移在技術(shù)上可以實現(xiàn)�����,但是廠商方面不配合支持相關(guān)服務(wù)�,導(dǎo)致銀行在沒有密鑰的情況下無法單向解密。
(21世紀經(jīng)濟報道記者楊希對本文也有貢獻)
