IT系统信息安全风险不容忽视
【编者按】2011年至今,广东银监局共组织实施信息科技现场检查17次,发现辖内机构IT风险点120处,提出整改建议83条,通过督促整改,消除了一批风险隐患,降低了风险水平。辖内16家接受评级的法人机构2011年度信息科技风险评估结果显示,三级以上的机构增至14家,机构IT风险管理能力已有改观。但从今年的IT风险现场检查情况看,在风险水平总体下降的同时,辖内银行业金融机构信息安全风险管控状况不尽理想,仍需进一步改善。
一、银行业机构信息安全管理力度不足、风险隐患突出 2012年7月份以来,广东银监局组织了9场次信息科技风险现场检查,从检查情况看,辖内机构在信息安全管理方面存在的问题不容忽视:
(一)对核心信息的管控强度不足、控制结构混乱。检查发现:被查机构对应用系统源代码审核基本都不落实,显然“招行成都分行网银案”(代码漏洞)风险警示未被足够重视; 多家机构对重要系统备份介质保管未实施双重控制,甚至有机构将电子银行系统关键密钥交由单人保管;网上银行客户端安全性保护未能达到《网上银行系统信息安全通用规范》(国标)要求;核心网络设备、运行管理系统等重要部件由多人共同使用超级用户;部分机构核心系统中,uucp、nfs等敏感闲臵用户未作删除,理论上有被利用于非法入侵可能;在对某机构测试环境检查时发现测试数据库中的海量生产数据未完全脱敏,且客户机可下载数据表,说明机构对敏感信息的控制强度不足。
(二)对银行终端设备管理较为松懈。中资机构对桌面系统、客户机的安全管理较松懈,基本没有效实施简约客户机模式。如工行、农行近年在改造桌面系统、限制移动接口等方面做过一些尝试,但从高层到普通员工的认同度都不高,至今难于推行,而内网客户机功能过强是很明显的风险点;在银行桌面系统中允许使用移动存储介质是普遍现状,而屏幕摄录日志并未覆盖所有内网机器;另外,大部分机构对内外网交叉连接也未实施有效限制。
(三)信息安全管理制度不全或执行不到位。今年7月,我局检查组在对某城商行现场检查中抽查了银行卡制卡机、后台权限管理客户机各一台,发现:(1)制卡机中存放有2000余条完整的客户制卡明码信息,如果外泄,有可能造成该行银行卡被批量克隆的严重后果,而监管部门之前的风险提示与整改建议未被认真对待;(2)后台管理客户机中有约20张账号、户名、印章齐全的高清支票照片,存在客户机中已超过一年,如外流,将直接威胁客户的账户安全。查阅该行数据管理制度未见有对上述类型信息作存期、获取、使用、销毁等限制性规定内容。
(四)信息安全控制措施的有效性存在疑问。某小型银行虽对内网机器作了移动接口监视,但未对移动存储介质带离银行进行严格管束,也未见该行有定期检查移动介质内容的记录或制定相关审核管控制度,管控方式存在漏洞,易于造成涉密信息外流。如:通过更改客户机、移动介质中的信息变动痕迹,即可使内网监视软件对信息流向的追踪失去目标、形同虚设。此外,对多家中小银行的检查显示,机构对客户机系统软件的安全控制一般只做到黑名单管理层面,未发现有采用更有效的
白名单管理模式。
(五)外包流程可能产生信息安全风险隐患。小型机构对外包依赖性较强,但对外包的风险控制措施不到位。广东省局对多家中小型机构的现场检查发现,项目建设期间,外包方人员几乎掌握应用项目的所有信息,并被赋予很高的系统权限,外包协议规定外包商拥有项目建设的关键文档、参数、应用代码等核心信息,并可随时利用开发设备等完整带离机构。这种合作方式有形成“韩国农协行式信息科技风险”隐患可能。
(六)高管层对信息安全风险管控的认知不足。从访谈信息看,辖内银行业机构大部分CIO在信息安全风险识别、监测、控制等方面自我感觉良好,认为本机构信息安全不存在较大问题。但将现场检查、巡查、调查发现的信息对照《广东省银行业金融机构信息科技风险管理指导意见》要求的比较结果表明,当前在任CIO在知识背景、战略意识、对IT风险的认识深度、对监管法规的了解、所主持建立的IT风险防范措施有效性以及与监管部门的沟通能力等方面均存在差距,管理层的引领能力不尽理想。
二、信息安全管理风险突出的原因
(一)高层对信息科技风险管理定位不明确,导致资源配备错位。表现为:认为信息安全管理是科技部门的工作,将科技部门视为信息安全风险的主要管理者,既负责制度制定也负责执行、监督,信息安全风险责任由IT部门兜底;在部分设臵了CIO的机构,也因各种原因未能充分体现其作用。被查机构IT人力资源相对缺乏的现象普遍存在,IT员工比例基本都在5%以下,部分机构甚至不能确保基本的岗位配备需要,致使信息安
全岗位、人员的安排被忽视。
(二)内控系统不完善是引发信息安全问题的重要原因。机构高层对信息安全风险认识程度不够,没有采取恰当的风险管理战略,鲜有通过充分宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境的行为,以致员工不清楚、不了解信息安全的含义,息安全意识淡薄,缺乏对信息安全风险的敏感性(客户机长期大量存放涉密信息可能导致其外泄等事实说明这一现象严重);另外,内部管理制度、控制措施不完善或不适当,不能充分识别信息安全风险或及时发现、消除、有效控制风险点;内部信息交流不充分,监督纠偏制度不落实,信息安全责任不明确等也是较普遍的现象。
(三)过度依赖外包商导致银行机构未能主动控制外包风险。部分机构认为出现设备、系统故障时可由外包商解决,而对外包商是否能及时、恰当解决问题或最大程度避免安全问题的出现认识不足,导致了对外包商选择、设备选型方面出现缺乏充分论证,流程不规范、对信息安全保护考虑不周的行为;此外,中小机构内部人员对核心系统的掌控能力不足,不得不向外包单位开放更高的系统控制权限,这也可能招致信息安全风险问题。当前,外包监管法规主要作粗线条规定,机构不易直接参照,致其内部制度难以清晰界定如何识别外包风险程度、范围是外包流程管理中风险控制被动的另一原因。
(四)法规支撑力度较弱,影响信息科技监管的有效性。首先,因当前信息科技风险监管因素基本不影响其考核、评级,银行业机构往往将IT监管行为视为“免费体检”,消极应付。对监管意见的执行较随意,不利于IT风险管理环境的改善和整
体风险水平的降低,使信息科技风险监管的作用大打折扣;其次,对信息安全设施、控制措施的审查未予以足够重视,深层次的银行核心信息系统安全与风险控制能力审核、评估过程更未出现在准入流程之列。
三、对策建议
(一)督促机构管理层正视信息科技风险管理。一是建议监管部门定期剖析、通报典型案例,必要时要求机构针对案例进行专项对照自查并提交报告;二是由监管部门负责人对发生信息科技风险事件的、在现场检查中被发现存在重大风险隐患的机构进行点名、警示,对机构管理层形成一定压力,促使其正视信息科技风险的防范;三是将信息科技风险管理评级结果作为机构高管履职评价的参考要素,务使管理层负起IT风险管理第一责任;四是对信息安全内部管理多次出现问题的机构,可考虑调降其内部控制评价等级,提高对其IT风险现场检查的频度;五是可考虑提升监管法规层次,加强监管约束,对IT风险相关内部控制结构混乱,制度无效或有章不循的现象以违规论处。
(二)强化内部控制,管控信息安全内部风险。信息系统已成为银行业重要生产平台,IT风险是很明确的新型风险,机构内部控制系统必需能对其充分识别与控制,防范信息安全风险应作为IT风险相关内控制度建设的基础。一是管理层应走出将信息安全管理认为是科技部门工作的误区,厘清信息安全风险管理边界,通过宣传、教育引导全员提高信息安全意识,形成健康的信息安全环境,使所有员工都了解信息安全的重要性,强化信息安全意识,提高对信息安全问题的敏感性;二是健全
内部管理制度与措施,充分识别并控制信息安全风险,明确信息安全管理责任,通过适当的内部控制结构、管理行为及时发现、有效控制、消除信息安全风险点;三是疏通内部信息交流渠道,加强部门交流、上下层级交流、内部审计与纵向、横向监督,确保管理层及时了解信息安全风险状况,落实纠偏制度。
(三)完善外包法规,防范信息安全外部风险。当前外包相关监管法规、文件对核心技术掌控、信息安全控制等关键事项的规定有待进一步细化。一是考虑加大对设备厂商和外包商风险事件的通报力度。由银监会或各监管局对信息系统风险事件涉及的设备厂商、设备型号、外包商进行定期通报,加强风险警示,督促厂商、外包商提高质量,与银行业机构共同缓释、控制风险。二是考虑增加对应用系统外包的安全控制条款。大型银行应用系统建设中,由科技人员分组管理局部模块,内部人员共同控制应用系统集成,不允许外包商掌握整体应用的做法是适当的风险控制方式。可参照这种思路,细化外包管理法规,如规定:系统模块、总集成管理边界;系统权限、关键信息控制方式;对外包软件开发中使用的设备、移动介质,以及数据脱敏、利用、存储、转移,销毁等进行管制;强制性代码审核要求等信息安全保护条款。三是考虑设定监管部门对外包商实行延伸检查的授权程序。外包商财务变化、人员变动、责权利不明确等因素,容易给银行信息系统管理带来风险。目前监管部门缺乏对外包商的延伸检查手段,不利于全面监测和管控信息科技风险,建议以部门规章形式设定信息科技监管部门对银行业IT外包商的延伸检查权,以进一步提高监管的有效性。
