信托公司信息安全管理建设研究
摘要 信托行业整体信息安全现状为客观全面地了解信托行业整体信息安全现状,基于国标《GB/T22080—2016信息安全管理体系要求》,通过问卷形式对48家信托公司进行了调研,调研问卷覆盖安全投入、安全体系、安全规划、数据安全、系统安全等领域的10个问题。根据问卷统计结果,我们选择了部分典型性问题分析如下:
信托行业整体信息安全现状
为客观全面地了解信托行业整体信息安全现状,基于国标《GB/T22080—2016信息安全管理体系要求》,通过问卷形式对48家信托公司进行了调研,调研问卷覆盖安全投入、安全体系、安全规划、数据安全、系统安全等领域的10个问题。根据问卷统计结果,我们选择了部分典型性问题分析如下:
第一,在信息安全人员配备方面,57%的公司没有专职信息安全人员,由其他岗位人员兼职。
第二,在信息安全投入(包括产品和服务)方面,68%的公司不足100万元/年。
第三,在信息安全制度体系方面,65%的公司的安全制度未有效落地。
第四,在数据安全方面,大部分公司已采取了数据脱敏、数据分类分级等零散的管控措施,但没有一家公司建立完整的数据安全体系。
第五,在安全问题的原因追溯方面,主要体现在安全投入不足、安全体系不完善、安全意识薄弱等方面。
第六,在行业方面,期望在信息安全工作方面提供哪些支持的问题回复主要体现在“希望制定信托行业信息安全标准”(占比48%)、“增加人员和资金投入”(占比22%)以及“强化行业先进经验交流分享”(占比10%)等方面。
通过对各公司评估数据分析,整体而言,行业内各公司信息安全水平差异较大。样本数据中,平安信托、中信信托等公司信息安全成熟度相对较高。其中平安信托依托平安集团强大的信息安全资源优势和技术能力,于2018年建成了完善的信息安全管理体系并通过了ISO27001信息安全管理体系认证,成为国内第一家获得国际认证机构颁发ISO27001信息安全体系认证的信托机构,标志着平安信托信息安全管理已与国际接轨,符合国际标准。同时通过设计商业化安全产品和平安集团自研安全技术平台构建了事前预防、事中监控、事后审计的纵深安全技术防御体系。
但部分信托公司受制于预算、资源、技术等方面的限制,信息安全基础性工作仍有待加强,例如在基本的安全制度、专职安全人员、系统开发生命周期安全、安全合规、供应商安全等方面存在明显不足。
信息安全威胁及挑战
1.外部信息安全威胁方面(网络安全黑色产业链)
根据国家互联网应急中心(CNCERT)于2019年4月发布的《2018年我国互联网网络安全态势综述报告》指出,当前网络安全威胁日益突出,其中关键信息基础设施、云平台等面临的安全风险仍较为突出,且网络安全事件频发,例如华住旗下酒店5亿条信息泄露、圆通10亿条用户信息数据被出售等。
根据本次针对48家信托公司信息安全调研问卷结果,2018年57%的公司受到信息泄露、DDOS攻击、网站内容被恶意篡改、挖矿攻击等不同类型的外部安全威胁。网络安全攻击已形成完整的产业链,图7是腾讯《2017年度网络黑产威胁源研究报告》中发布的“网络犯罪黑色产业链”。
该报告指出“网络犯罪黑色产业链”在专业化发展过程中呈现出五大趋势:
一是国际化。随着我国对网络犯罪打击力度的不断加大,一些大型黑色产业链团伙(以下简称“黑产团伙”)为了逃避打击,纷纷逃往国外设立据点,同时,跨境犯罪的类型也从最初的电信诈骗,发展为DDoS攻击、网络赌博、网上招嫖、制作木马、黑客渗透等多种方式和手段。
二是智能化。人工智能等先进技术已在网络犯罪中应用:如嫌疑人使用基于神经网络模型的深度学习技术,搭建分布式AI验证码识别系统,能够快速识别当前互联网上80%以上的验证码,识别正确率达90%以上。
三是平台化。平台化的黑色产业(以下简称“黑产”)软件替代人工操作,降低了犯罪成本,提高了犯罪效率。如批量识别验证码的“打码平台”,旨在绕过互联网公司“IP判定策略”,自动实现秒级重复拨号、不断变化IP地址的“秒拨”动态IP服务。
四是公司化。黑产团伙成立专门的公司作恶的例子增多,各环节有专门人员负责,常打着正规经营的幌子进行大规模黑产犯罪。
五是涉众化。越来越多的线下犯罪向线上犯罪转移,在互联网场景下对人群的影响被放大,影响面更广。
2.信托业面临的信息安全挑战
信托业应正视当前日趋严峻的信息安全形势,积极应对。资管新规落地后,信托公司利用金融科技支撑业务转型将是提高信托项目运营的效率与准确性的重要举措。但在金融科技落地执行的过程中,整个信托行业仍面临着较大威胁及挑战,具体体现在以下几个方面:
(1)信息安全投入不足,缺乏专职安全人员,兼职现象普遍。根据麦肯锡报告,国际领先银行科技人员占比在8%~25%,科技投入占比普遍在8%以上。根据银保监会的统计数据,2018年银行对科技总投入同比增长13%,信息科技人员同比增长近10%。一些股份制银行科技人员同比增长超过20%,科技人员占比超过4%。
国内银行在金融科技方面的平均投入从此前普遍占总营收的1%升至2%。平安银行(000001,诊股)科技投入占总营收比例是2.2%,信息安全投入占科技投入比例为3%;招商银行(600036,诊股)科技投入占总营收比例是2.78%;交通银行(601328,诊股)科技投入占总营收比例是5%,未来计划提升到10%。
从信托行业来看,金融科技投入距离银行及券商有较大差距。多数公司的金融科技投入都在千万元级别,一些中小型信托公司在金融科技方面的资金投入只有数百万元。具体在信息安全投入方面,68%的公司每年不足100万元,57%的公司没有专职信息安全人员,由其他岗位人员兼职负责信息安全工作。即使配备信息安全专岗的信托公司,团队规模很小,无法覆盖信息安全管理各个领域,并且缺乏信息安全专业知识和技能。
(2)信息安全已成为商业银行及大型互联网公司业务合作准入门槛。2019年“两会”期间,《关于保持金融监管“适当性”、加强金融监管“适应性”的建议》的提案中要求制定金融科技信息安全行业标准,提高金融科技企业的安全准入门槛,同时还要明确金融科技行业的准入和退出机制。
当前信托行业进行转型升级,需要加强与商业银行及大型互联网公司的合作,利用其客户资源及流量优势,开拓新的业务。但商业银行及大型互联网公司的信息安全标准明显高于信托机构,为确保自身信息系统及数据安全,商业银行及大型互联网公司在与外部机构进行合作时,均会提出明确的信息安全准入条件作为合作前提要素,甚至要求必须接受其信息安全审计,审计结论作为双方合作的重要参考依据。因此,信息安全能力强的信托公司将在业务合作过程中捷足先登,抢占市场先机。
(3)核心技术无法自主可控,严重依赖供应商,第三方外包风险上升。部分信托公司业务进行数字化转型,面向互联网应用大幅增加,建立合作关系的第三方机构数量日益增多,各方信息系统关联逐步加深,但各机构科技标准和运维水平存在不匹配。容易因第三方机构系统故障、缺陷、数据泄露或业务风险影响信托公司内部的信息系统安全稳定运行。
此外,信托公司核心业务系统、关键基础软硬件等重要外包活动存在集中度较高、依赖性较强的情况,信托公司科技部门缺乏话语权,处于相对弱势地位。
(4)信息系统安全风险较大,漏洞较多。信托公司信息技术发展与信息安全防护能力发展不匹配的问题,导致在业务连续性管理、开发及生产运行安全存在隐患:信托公司互联网应用开发、代码审核、安全测试等工作不规范,变更管理不足,投产方案不完善,重要运维操作风险评估不足,应急预案准备不充分。
根据《FreeBuf2018金融行业应用安全态势报告》,在金融行业系统安全漏洞方面,命令代码执行类处于首位,其次是SQL注入、XSS漏洞,拒绝服务攻击等领域;在安全漏洞数量方面,逻辑漏洞数量最多,其次是SSRF(服务器端请求伪造)、目录遍历开始出现。
(5)数据保护能力薄弱,个人信息保护体系缺失。相对其他金融行业,信托公司多为高净值客户,对个人隐私保护要求更高。但行业各公司普遍未建立数据安全体系,没有从数据的产生、使用、存储、流转、销毁等生命周期进行梳理和管控,各环节均不完全满足国家最新发布的有关隐私保护相关的监管要求,例如《个人信息安全规范》(GB/T35273)等,存在客户信息泄露风险。
信息安全体系及标准建设的必要性和可行性
1.必要性
(1)要满足日趋严格的信息安全监管要求。通过前文中国家层面以及金融行业安全监管要求分析的结论可以了解,有关部门近期发布了多个有关信息安全的监管要求,监管趋严,信息安全监管要求作为“红线”,是信托行业各公司长久健康发展的基石。
(2)信息安全已成为业务合作准入门槛。中国银保监会每年依据《商业银行信息科技监管评级定量和定性标准》对各类商业银行进行信息科技监管评级,其中信息安全考核分数占14分,评级结果影响到各家银行业务许可范围。2014年,中国银监会发布了《关于加强商业银行与第三方支付机构合作业务管理的通知》,明确了在与第三方合作过程中保护商业银行客户信息安全的具体要求。2018年,人民银行下发《关于进一步加强征信信息安全管理的通知》,进一步加强对企业和个人征信系统运行机构和接入机构征信信息安全管理。2018年,全国金融标准化技术委员会发布了《聚合支付安全技术规范》,规定了合作方在安全技术、安全管理、风险控制等要求。在此背景下,商业银行普遍增强自身信息安全能力,同时为防范因外部合作导致的安全风险,对合作方提出了明确的信息安全门槛要求。因此,信托公司如期望加强与银行、大型互联网机构的业务合作,必须符合相关领域信息安全标准。
(3)建立信托行业指导性的信息安全标准需求迫切。本次课题的信托行业信息安全调研结果分析显示,信托公司普遍面临专职信息安全人员配备较少,资源投入不足,专业能力有限等行业现状,在开展日常信息安全工作时经常遇到各类困惑(例如,等保2.0新标准发布后,在本公司如何落地困扰着众多信托公司)。各信托公司对于建立信托业信息安全标准并以此指导各公司工作实践的需求十分迫切。
2.可行性
信息安全管理体系已在部分银行和信托公司成功落地。已有多家银行(如中国银行(601988,诊股)、农业银行(601288,诊股)、招商银行、民生银行(600016,诊股)、交通银行、浦发银行(600000,诊股)等)和个别信托公司(平安信托、中信信托)建立了信息安全体系并通过ISO27001认证,信息安全体系建设具有丰富的实践参考经验。
(课题牵头单位:平安信托有限责任公司 )
摘自:《2019年信托业专题研究报告》