金融行业一般掌握着大量公民信息,如住址、身份证信息、联系方式、银行卡信息等,其数据敏感程度较高,一旦泄露将对受害者影响较大。《网络安全法》中有明确作为国家关键信息基础设施的金融机构,必须做好自身的网络安全工作,采取技术措施和其他必要措施,确保其收集的个人信息安全,防止个人信息泄漏、丢失等。
近日,公开的裁判文书显示,平安人寿六盘水中心支公司内部人员利用职务之便泄露客户信息被处罚,多名涉事人员判处有期徒刑。
剥茧抽丝,揪出“内鬼”
经查,2020年3月黄某提供省外异地保单号给闫城玉,闫城玉在贵州省查询相应保险客户个人信息,筛选出仍在保险有效期内的客户信息,并以每条10元-12元的价格收购
闫城玉有经人介绍与当时在平安人寿保险股份有限公司工作的刘某某认识。经商议闫城玉提供保单号,刘某某查出有效保单信息,闫城玉以每条7元收购。
2020年4-11月,刘某某伙同同事马某某、文某某等人,利用员工内部账号权限查询有关保险客户信息,筛选出有效期内的客户信息,而后出售给闫城玉。
2020年5月闫城玉经人介绍认识了平安人寿保险股份有限公司戚某某,戚某某让其公司姜某某利用其账户权限查询保单号,闫城玉向其支付报酬。闫城玉以每条2元作为介绍费给戚某某。
最终,闫城玉非法买卖公民个人信息近4万条,违法所得40万余元,从中获利约3万元;刘某某非法查询、收购、出售公民信息近3万条,违法所得26万余元,从中获利18.54万元。
公司法人代表戴华因管理不到位承担主要领导责任,被给予警告以及罚款2万元处罚;黄方欣作为管理人员承担管理责任,被给予警告和罚款1万元处罚。闫城玉、刘某某因侵犯公民个人信息罪,被判处有期徒刑三年,并处罚金八万元;及有期徒刑一年十个月,缓刑二年,并处罚金八万元。其他参与案件人员部门分别给予禁止进入保险业十年和三年的处罚。
外防黑客,内防“内鬼”
该案件是内部人员利用职务之便与外部人员勾连,由内部员工利用自身权限,进入内部系统来完成的。也就是说,防范内部威胁,首先要做好企业内部人员及数据的管理工作。
对比其他行业,金融行业对信息安全保护程度要求更高,其下多个部门处于物理隔离的情况,对于外界的木马病毒、黑客攻击等都可以进行有效的防范。但,企业的信息安全防护不拘于对外部的安防,还需要建立内部的一道防线,防止内部人员违纪等严重问题。
其实,“内鬼”是整个灰色产业的主角。研究发现,80%的数据泄露事件是内部人员所为。企业往往更多精力用于运营,忙于开展业务,忽视了内部管理和数据保护,才导致“内鬼”的出现。
企业如何通过技术措施对数据进行保护?
1、数据加密:对交换数据进行加密,避免他人窥视。
当下企业核心资料越来越成为竞争主体的情况下,对企业核心数据进行加密显得尤为重要。
2、确保数据完整:保证数据交换的完整性。
数据加密传输,第三方无法通过技术等工具篡改已受保护的信息数据,确保数据准确和完整,避免欺诈、钓鱼等事件的发生。
3、权限管控:有效管控内部数据,不外泄。
内部泄密是企业数据泄露的根源之一,内部员工可能有意或无意的不当行为,是造成数据泄露的关键原因。
企业机构应制定严谨详细的管理制度并严格执行,同时从安全技术上进行数据管理,如数据加密、数据防泄漏、数据溯源、访问权限管控等。同时,数据进行分级分权管理,划分数据等级后加密存储,员工等级不同访问权限不同,普通员工不能越级接触敏感数据,不同部门不能跨部门查看数据,尽可能降低核心数据泄露的风险。