保险信息泄露事故警示:行业数据安全环境仍存不足,需搭牢制度篱笆强化执行

观点
2021
07/07
10:41
亚设网
分享

保险信息泄露事故警示:行业数据安全环境仍存不足,需搭牢制度篱笆强化执行

信息安全成为近日关注热点,在数字化时代,除违法违规使用和收集用户信息外,因数据管理存在疏漏和导致用户信息泄露的事件同样值得关注与警惕。聚焦于保险业,对于手握大量用户个人身份信息、资金支付信息以及健康、习惯等数据的保险机构而言,保护用户信息尤为关键。而在近期,南非保险服务商QSure、法国安盛保险机构接连陷入信息泄露事件,值得行业机构加强警惕。

专家向蓝鲸保险介绍,我国保险业目前数据安全性环境存在明显不足,缺乏专门制度与规范,且机构管理意识不强,存在制度缺失或执行力有限的情况。在此基础上,建议保险机构在多个环节加强管理,专人专责,同时对数据进行分级管理,实行脱敏技术加工,并限制访问权限。据保险业内人士介绍,当前数字化转型的背景下,保险数据保护,需要实时查漏补缺,并重视技术应用及创新。

保险数据屡遭攻击,数据流失导致资源、利益流失

就在近日,南非保险服务商QSure卷入一起数据泄露事件,据了解,QSure是一家与保险公司、保险中介公司等机构的合作伙伴,通过定制的专业收款和支付服务为保险公司提供助力,为南非250余家中介机构服务。

据媒体报道,QSure用户银行账户信息等敏感信息被第三方盗取,QSure相关负责人回应,“这些数据涉及QSure的投保人,包括银行信息,仅限于账户持有人姓名、银行账户号码和银行分行代码。QSure数据库中没有保存投保人的身份号码、信用卡信息、任何形式的联系方式或保单内容,因此不可能受到影响”。

期间,在发现服务器异常活动后,QSure对外部连接进行暂停,随后在受保护的环境中恢复运作,同时寻求网络安全公司协助调查。同时,其合作的保险公司Hollard提醒,如果网络犯罪分子利用被泄露的数据,会导致欺诈与身份盗窃的风险增加。

无独有偶,今年5月,法国安盛保险公司声明,其在亚洲的运营遭勒索软件攻击,造成安盛在泰国的下属机构Inter Partners Asia处理的部分数据泄露。2020年末,瑞典最大的保险公司Folksam证实,其在一次内部审计中,发现与数字合作伙伴共享了近百万客户的个人信息,这些信息在社交媒体上泄露。

对于保险机构而言,掌握着大量投保人个人身份信息、支付信息、健康数据、保单记录等,涉及消费者个人隐私及财产安全。监管也在数度强调信息安全重要性,根据《保险法》等法规文件,保险机构对在办理保险业务中获取的投保人、被保险人、受益人的业务和财产情况及个人隐私,负有保密义务。

“现代经济正在快速数字化,数据往往就意味着经济利益,非法获取和买卖数据现象越来越严重,数据流失意味着资源与利益的流失”,首都经贸大学保险系副主任李文中向蓝鲸保险分析道。同时他提出,“随着消费者自我保护意识的提升,保险公司加强消费者隐私保护一方面有利于维护客户之间的良好关系;另一方面可以防止公司陷入法律风险之中。再次,海量保险数据不仅涉及保险公司的利益、消费者的个人隐私,还会涉及国家安全。因此,搭建防火墙非常必要且紧迫”。

“保险机构对于用户隐私数据都非常重视”,一位保险中介机构相关负责人从保险机构立场向蓝鲸保险表示,“一方面源自于监管要求,另一方面,则是因为数据保密是客户与保险主体构建信任的关键,一旦发生数据泄露事件,无论是因为内控问题或是遭受攻击,都会导致用户对保险机构的信任缺失,造成难以挽回的影响”。

保险业数据安全环境仍存不足,机构应将数据安全管理提至战略高度

多年前,我国保险机构曾暴露过数起客户信息泄露风险,2013年,某保险公司近80万份保单信息可在其合作公司网站中公开查询;2015年,补天漏洞平台白帽子提交了一份关于某保险公司存在数据泄漏风险的漏洞信息,涉及数据包括客户身份证、银行卡号等敏感信息以及保险公司与其他机构合作的金额、开户公司、内部业务人员账号密码等相关机密。

尽管近年来我国保险业未有大型数据安全风险暴露,但关于“保险公司泄露个人身份信息及联系方式”“医疗数据、驾驶行为习惯数据的获取与保护”等争议始终存在。

“我国保险业的数据安全环境存在明显不足”,李文中向蓝鲸保险分析指出,“首先,缺少保险数据安全管理方面的专门法律制度和管理规范;其次,保险机构数据安全管理意识不强,制度缺失或者虽有制度但往往流于形式”。

当前,银保监会正在法规中强调数据安全的重要性,细化规则,填补漏洞。如在今年发布的《保险中介机构信息化工作监管办法中》,也明确要求,保险中介机构在信息化工作方面应与关联企业有效隔离,不得违规泄露数据信息。

一方面,需要监管夯实,另一方面,需要保险机构继续强化数据安全管理,李文中建议,保险机构应将保险数据安全管理提升至战略高度。“保险机构应当建立数据安全管理制度,强化相关人员的法律责任,具体应从以下环节加强管理:首先,保险公司需要在数据录入、存储、复制、传输等环节加强管理,既要采用技术手段防数据泄漏,又要安排专门人员分别负责相关工作。其次,保险公司需要对所有数据进行分级管理,一方面对某些数据进行脱敏技术加工,另一方面授予不同级别人员不同的访问权限”。

据蓝鲸保险了解,近年来,诸多保险机构正在强化数据安全管理建设的执行,以某家互联网保险公司为例,其数据安全体系的建设主要采取安全管理和安全技术防控并重的方式,数据安全管理方面配备数据安全管理矩阵,从能力、场景和管理执行三个维度建设安全管理;技术方面,从技术架构维度,包括网络层、终端层、基础设施层、业务应用等层次进行分级分类控制,并引入技术进行识别、保护、检测、响应及处理。

某保险集团,根据大数据平台的部署架构,在资源、鉴权、认证、接入、网络五个层面进行安全体系的建设。其中包括接入层跳板机机制,大数据平台和接入层跳板机皆采用双网卡形式链接,平台内部通过私网(万兆网卡)链接。外部无法直接访问私网,须通过接入层跳板机进行访问。

“数据保护是复杂且需要持续完善、加固的工作”,一位保险科技业内人士向蓝鲸保险表示,经过近年来的建设,保险公司、保险中介机构以及第三方平台均已经搭建相对牢固的管理体系和制度,但在行业数字化转型、科技发展迅速的背景下,需要机构时时查漏补缺,而最优状态是实现安全左移,探索、创新新技术,预判并执行安全风险和漏洞控制,扎牢数据保护的篱笆”。

THE END
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表亚设网的观点和立场。

2.jpg

关于我们

微信扫一扫,加关注

Top