安恒信息2023年2月金融業(yè)安全資訊

-頁(yè)金融行業(yè)相關(guān)金融科技加持中小銀行開啟數(shù)字化轉(zhuǎn)型“加速度”近兩年，數(shù)字化轉(zhuǎn)型的“聚光燈”已經(jīng)逐漸聚焦在中小銀行身上。在金融科技的加持下，多家中小銀行開啟了數(shù)字化轉(zhuǎn)型“加速度”，實(shí)現(xiàn)了經(jīng)營(yíng)發(fā)展的“彎道超車”。隨著ChatGPT的快速升溫，其在金融場(chǎng)景領(lǐng)域的探索也已經(jīng)拉開序幕。近期，多家中小銀行宣布正式開啟對(duì)ChatGPT應(yīng)用的探索。檢查官王朝弟談金融科技發(fā)展、監(jiān)管與數(shù)據(jù)安全等2月25日，在由中國(guó)金融四十人論壇和中國(guó)金融四十人研究院聯(lián)合主辦的“明珠灣金融峰會(huì)（2023）”上，銀保監(jiān)會(huì)首席檢查官王朝弟在主題演講中表示，萬(wàn)物數(shù)據(jù)化、萬(wàn)物智聯(lián)化的時(shí)代，經(jīng)濟(jì)金融更加離不開科技支持，但金融科技并非十全十美，并不是包治普惠金融百病的“萬(wàn)能藥”。金融科技賦能反洗錢數(shù)字化轉(zhuǎn)型跨入數(shù)字經(jīng)濟(jì)時(shí)代，金融科技日新月異，推進(jìn)金融科技與反洗錢深度融合，成為反洗錢改革創(chuàng)新的必由之路。本文針對(duì)當(dāng)前反洗錢面臨的問題，系統(tǒng)梳理金融科技賦能反洗錢監(jiān)管數(shù)字化轉(zhuǎn)型的路徑，展望金融科技賦能反洗錢的未來方向與目標(biāo)，提出構(gòu)建“信息動(dòng)態(tài)感知、數(shù)據(jù)精準(zhǔn)分析、業(yè)務(wù)智能支撐”的反洗錢監(jiān)管系統(tǒng)化構(gòu)想，并在借鑒國(guó)內(nèi)外領(lǐng)先金融機(jī)構(gòu)特別是互聯(lián)網(wǎng)金融公司實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，探索制定從規(guī)劃布局、技術(shù)架構(gòu)、數(shù)據(jù)治理、風(fēng)控機(jī)制等多維度協(xié)同推進(jìn)反洗錢領(lǐng)域科技應(yīng)用的策略。銀行業(yè)APP個(gè)人信息保護(hù)合規(guī)性研究與探索移動(dòng)互聯(lián)網(wǎng)發(fā)展下，APP成為人們經(jīng)濟(jì)生活重要部分，對(duì)于服務(wù)民生、促進(jìn)社會(huì)經(jīng)濟(jì)發(fā)展具有重要作用。數(shù)據(jù)經(jīng)濟(jì)時(shí)代中，消費(fèi)者每天產(chǎn)生海量數(shù)據(jù)，對(duì)銀行業(yè)來說等同于“金礦”，能夠挖掘有價(jià)值客戶信息，卻也衍生出個(gè)人信息保護(hù)問題。工業(yè)和信息化部、市場(chǎng)監(jiān)督總局、中央網(wǎng)信辦、公安部等于2019年聯(lián)合頒布《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，組建專項(xiàng)工作組，落實(shí)APP違規(guī)收集用戶信息治理行動(dòng)，對(duì)個(gè)人信息保護(hù)加強(qiáng)監(jiān)管。中國(guó)人民銀行于2020年頒布《中國(guó)人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)做好個(gè)人金融信息保護(hù)技術(shù)管理工作的通知》，要求落實(shí)個(gè)人金融信息保護(hù)，維護(hù)用戶合法權(quán)益。隱私計(jì)算助力金融行業(yè)反欺詐風(fēng)控隨著信息通信技術(shù)的發(fā)展，各行各業(yè)信息系統(tǒng)采集、處理和積累的數(shù)據(jù)量越來越多，全球大數(shù)據(jù)儲(chǔ)量呈爆炸式增長(zhǎng)。2020年，中共中央國(guó)務(wù)院公開發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》首次將數(shù)據(jù)作為一種新的生產(chǎn)要素類型，表示數(shù)據(jù)資源的開放共享、交換流通成為重要趨勢(shì)，也表明數(shù)據(jù)要素的高效配置是推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵一環(huán)。數(shù)字化轉(zhuǎn)型已成為金融業(yè)提高服務(wù)質(zhì)量和競(jìng)爭(zhēng)力的共同選擇，為客戶帶來更加高效、優(yōu)質(zhì)的金融服務(wù)。金融科技監(jiān)管的國(guó)際比較與啟示研究008年國(guó)際金融危機(jī)之后，各國(guó)政府都出臺(tái)了強(qiáng)監(jiān)管政策加強(qiáng)對(duì)金融市場(chǎng)監(jiān)管，強(qiáng)監(jiān)管政策極大程度刺激了金融科技監(jiān)管與合規(guī)性的發(fā)展。隨著歐洲巴塞爾協(xié)議III（BaselIII）、美國(guó)多德-弗蘭克法案（Dodd-FrankWallStreetReformandConsumerProtectionAct）、歐盟金融工具市場(chǎng)法規(guī)（Mi-FID）等監(jiān)管法案的出臺(tái)，傳統(tǒng)金融監(jiān)管手段與合規(guī)手段已無法滿足當(dāng)前監(jiān)管與合規(guī)需求。近年來，人工智能、大數(shù)據(jù)等新興技術(shù)的出現(xiàn)，科技與金融領(lǐng)域深度結(jié)合的方式正在改變整個(gè)金融市場(chǎng)，同時(shí)也給金融科技監(jiān)管帶來了巨大的挑戰(zhàn)。2015年以來，美國(guó)、英國(guó)、日本、新加坡、加拿大等發(fā)達(dá)國(guó)家開始探索創(chuàng)新科技在金融監(jiān)管領(lǐng)域的應(yīng)用，目的皆在利用創(chuàng)新技術(shù)提升監(jiān)管機(jī)構(gòu)的監(jiān)管效率、降低被監(jiān)管機(jī)構(gòu)的合規(guī)成本與壓力。銀行網(wǎng)絡(luò)安全體系發(fā)展及趨勢(shì)思考隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，我國(guó)銀行業(yè)務(wù)服務(wù)模式與技術(shù)架構(gòu)發(fā)生了深刻變革。尤其在數(shù)字化轉(zhuǎn)型背景下，網(wǎng)絡(luò)安全作為保障銀行業(yè)務(wù)穩(wěn)定連續(xù)運(yùn)行的基礎(chǔ)，正面臨更大的挑戰(zhàn)。銀行網(wǎng)絡(luò)安全體系與銀行技術(shù)、業(yè)務(wù)架構(gòu)密切相關(guān)，先后經(jīng)歷了分散外掛防護(hù)、集中邊界防護(hù)、縱深防護(hù)等階段。隨著銀行數(shù)字化轉(zhuǎn)型工作的深入推進(jìn)，銀行網(wǎng)絡(luò)安全體系持續(xù)升級(jí)，并逐步向全面防護(hù)、攻防能力相長(zhǎng)的新體系演進(jìn)。國(guó)家信息安全工作工信部發(fā)布《關(guān)于電信設(shè)備進(jìn)網(wǎng)許可制度若干改革舉措的通告》2月6日，工信部發(fā)布《關(guān)于電信設(shè)備進(jìn)網(wǎng)許可制度若干改革舉措的通告》：對(duì)衛(wèi)星互聯(lián)網(wǎng)設(shè)備、功能虛擬化設(shè)備，按照《電信條例》《電信設(shè)備進(jìn)網(wǎng)管理辦法》等規(guī)定，納入現(xiàn)行進(jìn)網(wǎng)許可管理?！秶?guó)家網(wǎng)絡(luò)空間海外利益保護(hù)白皮書》發(fā)布黨的十八大以來，我國(guó)更加深入開展對(duì)外開放，參與全球化進(jìn)程。通過與海外國(guó)家和地區(qū)開展經(jīng)貿(mào)領(lǐng)域互利共贏合作，我國(guó)海外利益拓展迅速，海外人員、機(jī)構(gòu)和投資等規(guī)模不斷擴(kuò)大。但網(wǎng)絡(luò)空間作為數(shù)字經(jīng)濟(jì)數(shù)據(jù)要素的重要載體，其安全問題是數(shù)字經(jīng)濟(jì)發(fā)展的前提和基礎(chǔ)。網(wǎng)絡(luò)空間中存在的發(fā)展不平衡、規(guī)則不健全、秩序不合理，以及關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)隱患和網(wǎng)絡(luò)恐怖主義、網(wǎng)絡(luò)犯罪等問題，給我國(guó)數(shù)字經(jīng)濟(jì)“走出去”和國(guó)家發(fā)展與安全大局帶來諸多挑戰(zhàn)。《2022年工業(yè)信息安全態(tài)勢(shì)報(bào)告》正式發(fā)布2022年俄烏戰(zhàn)爭(zhēng)爆發(fā)疊加新冠疫情影響，引發(fā)國(guó)際關(guān)系和安全格局大裂變，加劇工業(yè)領(lǐng)域安全威脅，全球工業(yè)信息安全形勢(shì)愈發(fā)嚴(yán)峻。在此背景下，國(guó)家工業(yè)信息安全發(fā)展研究中心（以下簡(jiǎn)稱中心）聯(lián)合業(yè)界優(yōu)秀力量共同編制《2022年工業(yè)信息安全態(tài)勢(shì)報(bào)告》（以下簡(jiǎn)稱報(bào)告），并于2月14日召開發(fā)布會(huì)，圍繞工業(yè)信息安全發(fā)展態(tài)勢(shì)展開交流研討。《工業(yè)和信息化部行政執(zhí)法事項(xiàng)清單（2022年版）》公布，15項(xiàng)涉及數(shù)據(jù)安全近日，工業(yè)和信息化部對(duì)外公布了《工業(yè)和信息化部行政執(zhí)法事項(xiàng)清單（2022年版）》。其中，涉及數(shù)據(jù)安全的行政執(zhí)法事項(xiàng)共計(jì)15條（第247-261條），具體如下：最新《API行業(yè)白皮書》正式發(fā)布！API（應(yīng)用程序接口）作為傳輸數(shù)據(jù)與連接服務(wù)的橋梁，越來越廣泛地應(yīng)用在Web、移動(dòng)應(yīng)用和后端系統(tǒng)集成等場(chǎng)景中。在互聯(lián)網(wǎng)+的背景趨勢(shì)下，API更加深入地應(yīng)用到各行各業(yè)的數(shù)字化生態(tài)之中，已經(jīng)成為構(gòu)建信息時(shí)代的核心元素，各企業(yè)、團(tuán)隊(duì)普遍通過調(diào)用API來高效、低成本、快速地獲取數(shù)據(jù)和技術(shù)能力。所以，API不僅發(fā)展成為了產(chǎn)品本身，更成為了企業(yè)承載價(jià)值、連接業(yè)務(wù)的核心載體。為了更好的了解API行業(yè)的發(fā)展現(xiàn)狀，給行業(yè)帶來新方向，Apipost聯(lián)合星闌科技發(fā)起了這次針對(duì)API行業(yè)的調(diào)查研究，通過大量的數(shù)據(jù)調(diào)研和匯總分析，最終形成了這份《2022年API行業(yè)白皮書》，該白皮書全面回顧了2022年API的深度應(yīng)用、行業(yè)現(xiàn)狀、從業(yè)人員（參與API設(shè)計(jì)、研發(fā)、上線以及維護(hù)的相關(guān)人員）畫像、行業(yè)痛點(diǎn)以及對(duì)行業(yè)未來的展望，重點(diǎn)分析了API所面臨的新發(fā)展形勢(shì)及其新的發(fā)展階段，為各界提供參考，共同推動(dòng)API行業(yè)持續(xù)健康發(fā)展。國(guó)家網(wǎng)信辦公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》通信世界網(wǎng)消息（CWW）2月24日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡(jiǎn)稱《辦法》），自2023年6月1日起施行。國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示，出臺(tái)《辦法》旨在落實(shí)《個(gè)人信息保護(hù)法》的規(guī)定，保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息出境活動(dòng)。中國(guó)發(fā)布《全球安全倡議概念文件》2月21日，中國(guó)外交部舉辦藍(lán)廳論壇，發(fā)布《全球安全倡議概念文件》。文件提到，要深化信息安全領(lǐng)域國(guó)際合作。中方已提出《全球數(shù)據(jù)安全倡議》，希望推動(dòng)達(dá)成反映各方意愿、尊重各方利益的全球數(shù)字治理規(guī)則。持續(xù)推進(jìn)落實(shí)《中國(guó)－阿拉伯聯(lián)盟數(shù)據(jù)安全合作倡議》和《“中國(guó)+中亞五國(guó)”數(shù)據(jù)安全合作倡議》，共同應(yīng)對(duì)各類網(wǎng)絡(luò)威脅，構(gòu)建開放包容、公平合理、安全穩(wěn)定、富有生機(jī)活力的全球網(wǎng)絡(luò)空間治理體系。外媒稱國(guó)有企業(yè)被建議停止與“四大”會(huì)計(jì)師事務(wù)所合作北美當(dāng)?shù)貢r(shí)間2023年2月22日，彭博社（B）報(bào)道稱，根據(jù)消息人士的信息，中國(guó)政府由于數(shù)據(jù)安全的風(fēng)險(xiǎn)敦促國(guó)有企業(yè)放棄與“四大”會(huì)計(jì)師事務(wù)所的合作。安全事件與攻防技術(shù)騙子在前10大勒索軟件攻擊中凈賺7000萬(wàn)美元自2020年以來觀察到的前10大勒索軟件攻擊為威脅行為者賺取了近700億美元的比特幣。為什么網(wǎng)絡(luò)罪犯如此依賴這種特殊的加密貨幣？“進(jìn)入2023年，勒索軟件仍然是對(duì)組織的主要威脅。就在本月早些時(shí)候，《衛(wèi)報(bào)》和《皇家郵政》透露受到了嚴(yán)重的勒索軟件攻擊，”Web3漏洞賞金和安全平臺(tái)Immunefi的一份新報(bào)告中寫道。金融應(yīng)用程序公開用戶數(shù)據(jù)一款名為“MoneyLover”的金融應(yīng)用程序被發(fā)現(xiàn)泄露了用戶交易及其相關(guān)的元數(shù)據(jù)，包括錢包名稱和電子郵件地址。該公司于2月7日在博客文章中發(fā)布了調(diào)查結(jié)果。MoneyLover由總部位于越南的Finsify開發(fā)，是一款用于管理個(gè)人財(cái)務(wù)的工具：預(yù)算、跟蹤費(fèi)用等。它可在適用于Android的GooglePlay、適用于PC的MicrosoftStore和適用于iOS的AppStore中獲得，它在1,000多名評(píng)論者中獲得4.6星評(píng)級(jí)，這些評(píng)論者可能會(huì)或可能不會(huì)受到該漏洞的影響。假冒財(cái)務(wù)部門，針對(duì)中國(guó)用戶的二維碼釣魚歐洲警方破解加密消息應(yīng)用Exclu逮捕42人在破解了犯罪分子使用的加密消息應(yīng)用Exclu后歐洲警方逮捕42名嫌疑人，繳獲了槍支、毒品和數(shù)百萬(wàn)歐元現(xiàn)金。Exclu是最新一個(gè)被警方破解的加密消息應(yīng)用，在歐洲多地發(fā)起聯(lián)合突擊搜查前，警方和檢方在Exclu系統(tǒng)中潛伏了五個(gè)月，閱讀了犯罪分子之間的通信。有大約3000人使用Exclu系統(tǒng)，其半年訂閱費(fèi)用高達(dá)800歐元。調(diào)查始于2020年9月，警方在比利時(shí)、德國(guó)和荷蘭的79處地點(diǎn)展開了搜查，關(guān)閉了Exclu消息服務(wù)。被捕者包括了該應(yīng)用的使用者和控制者，以及所有者。荷蘭警方稱其突擊搜查行動(dòng)至少發(fā)現(xiàn)了兩個(gè)毒品實(shí)驗(yàn)室、一個(gè)可卡因加工廠、數(shù)公斤毒品、400萬(wàn)歐元現(xiàn)金、奢侈品和槍支。加密貨幣交易所Coinbase遭遇網(wǎng)絡(luò)詐騙攻擊一個(gè)老練的威脅參與者發(fā)起了一場(chǎng)針對(duì)加密貨幣交易所Coinbase員工的詐騙活動(dòng)。據(jù)該公司稱，2023年2月5日，其部分員工收到短信，要求他們使用嵌入式鏈接緊急登錄賬戶。大多數(shù)員工都忽略了這條消息，但該公司透露，一名員工點(diǎn)擊了該鏈接并輸入了他的憑證?！暗卿洝焙?，系統(tǒng)會(huì)提示員工忽略該消息。挪威當(dāng)局查獲Lazarus黑客584萬(wàn)美元加密貨幣日前，挪威警察局?kokrim宣布，在AxieInfinityRoninBridge遭到黑客攻擊后，沒收了LazarusGroup在2022年3月竊取的價(jià)值6000萬(wàn)挪威克朗（約合584萬(wàn)美元）的加密貨幣。在美國(guó)財(cái)政部牽連朝鮮支持的黑客組織從Ronin跨鏈橋盜竊6.2億美元之后的10個(gè)多月后，事態(tài)發(fā)展出現(xiàn)了。Enigma信息竊取惡意軟件針對(duì)加密貨幣行業(yè)Trendmicro的研究人員最近發(fā)現(xiàn)一項(xiàng)攻擊活動(dòng)，該活動(dòng)以虛假就業(yè)為借口，針對(duì)加密貨幣行業(yè)的東歐人安裝信息竊取程序。在這次活動(dòng)中，疑似俄羅斯威脅行為者使用幾個(gè)高度混淆和開發(fā)不完全的自定義加載程序，以便使用Enigma竊取程序（檢測(cè)為TrojanSpy.MSIL.ENGIMASTEALER.YXDBC）感染加密貨幣行業(yè)的人員，這是Stealerium信息竊取器的改進(jìn)版本。除了這些加載程序之外，攻擊者還利用英特爾驅(qū)動(dòng)程序漏洞CVE-2015-2291來加載惡意驅(qū)動(dòng)程序，目的是降低MicrosoftDefender的令牌完整性。參考資料與信息大數(shù)據(jù)時(shí)代企業(yè)應(yīng)加強(qiáng)數(shù)據(jù)合規(guī)體系建設(shè)隨著數(shù)字經(jīng)濟(jì)發(fā)展，數(shù)據(jù)成為新型生產(chǎn)要素，也成為重要的企業(yè)資源。發(fā)展數(shù)字經(jīng)濟(jì)，既要強(qiáng)化制度保障，促進(jìn)數(shù)據(jù)的高效流通使用，也要重視數(shù)據(jù)安全，引導(dǎo)企業(yè)做好數(shù)據(jù)合規(guī)。近年來，數(shù)據(jù)作為新型生產(chǎn)要素，已成為推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的核心引擎。與此同時(shí)，數(shù)據(jù)安全問題較為凸顯，數(shù)據(jù)過度濫用、數(shù)據(jù)泄露、利用各類數(shù)據(jù)違法犯罪等問題層出不窮，企業(yè)數(shù)據(jù)刑事合規(guī)越來越受到重視。如何在2023年防止數(shù)據(jù)泄露在當(dāng)前的網(wǎng)絡(luò)安全環(huán)境中防止數(shù)據(jù)泄露的關(guān)鍵是準(zhǔn)確了解它們是如何發(fā)生的并覆蓋您的整個(gè)攻擊面。剖析數(shù)據(jù)丟失，并展示可能影響數(shù)據(jù)安全的具體弱點(diǎn)。洞見：2023年網(wǎng)絡(luò)安全34個(gè)關(guān)鍵數(shù)據(jù)2023年對(duì)企業(yè)網(wǎng)絡(luò)安全人士并不友好：數(shù)字化轉(zhuǎn)型深入、攻擊面快速增長(zhǎng)，人工智能技術(shù)爆發(fā)，網(wǎng)絡(luò)犯罪正在成為第三大“經(jīng)濟(jì)體”，地緣政治和戰(zhàn)爭(zhēng)進(jìn)一步加劇技術(shù)去中立化和巴爾干化，黑客攻擊技術(shù)日趨復(fù)雜化和“民主化”，而企業(yè)網(wǎng)絡(luò)安全預(yù)算和人力資源卻拙荊見肘。2023年五個(gè)關(guān)鍵網(wǎng)絡(luò)安全趨勢(shì)CyberQGroup預(yù)測(cè)的2023年五個(gè)關(guān)鍵網(wǎng)絡(luò)安全趨勢(shì)《2023年全球網(wǎng)絡(luò)安全展望》：超越合規(guī)安全最大挑戰(zhàn)是時(shí)間日前，世界經(jīng)濟(jì)論壇2023年年會(huì)在瑞士再次召開，論壇關(guān)注全球經(jīng)濟(jì)走勢(shì)的同時(shí)，每年都會(huì)同步關(guān)注網(wǎng)絡(luò)安全在其中發(fā)揮的關(guān)鍵作用，在本屆達(dá)沃斯年會(huì)上也如期發(fā)布了《2023年全球網(wǎng)絡(luò)安全展望》，以研究未來一年將全面影響經(jīng)濟(jì)和社會(huì)的網(wǎng)絡(luò)安全趨勢(shì)。CISO報(bào)告|2023年網(wǎng)絡(luò)安全和隱私行動(dòng)手冊(cè)近日，《2023年全球數(shù)字信任洞察調(diào)查報(bào)告》（the2023GlobalDigitalTrustInsights）發(fā)布。該報(bào)告調(diào)研了全球60多個(gè)地區(qū)的不同行業(yè)，共計(jì)3522名業(yè)務(wù)、安全和信息技術(shù)領(lǐng)域領(lǐng)導(dǎo)者，介紹了2023年的網(wǎng)絡(luò)安全領(lǐng)域新挑戰(zhàn)、CISO的工作與價(jià)值，結(jié)合現(xiàn)實(shí)編寫了企業(yè)高管層網(wǎng)絡(luò)安全手冊(cè)，并厘清了網(wǎng)絡(luò)安全的具體需求場(chǎng)景及解決方案（本文要點(diǎn)），為企業(yè)應(yīng)對(duì)全球數(shù)字信任挑戰(zhàn)提供了可行的發(fā)展計(jì)劃。美國(guó)NSA安全運(yùn)營(yíng)關(guān)鍵原則美國(guó)國(guó)家安全局的網(wǎng)絡(luò)