中国工商银行遭勒索软件攻击，金融行业如何正确应对数据安全风险？

2023年11月10日，中国工商银行股份有限公司在美全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布声明称，美东时间11月8日，ICBCFS遭勒索软件攻击，导致部分系统中断。

勒索软件攻击是当前互联网安全领域的一个严峻问题。勒索软件作为一种恶意软件，可以通过加密用户的文件并向用户勒索支付赎金来实现攻击者的利益。由于金融机构管理和存储着大量数据和关键服务，因此也成为了勒索软件攻击的最主要目标。

勒索攻击成为金融行业数据安全最大敌人

根据《2023年勒索软件现状报告》显示，金融行业的攻击率逐年上升，从55%上升到64%。勒索软件对金融服务部门的影响可能是广泛和灾难性的。勒索软件的大规模攻击可能会导致“下一次重大金融危机”，使关键机构陷入瘫痪。以下是近期金融行业重大勒索事件。

太平洋城市银行(PCB)遭AvosLocker勒索软件攻击，导致大量信息遭到泄露。

美国保险业巨头CNA遭黑客勒索软件绑架，迫使其付出4千万美元赎金。

德国用户被恶意软件盯上，该恶意软件能够自动分发Gootkit或REvil病毒。

智利国家银行遭受勒索软件攻击，被迫关闭所有分行。

哥斯达黎加银行遭受勒索软件攻击，导致近4GB数据被泄露。

金融行业遭遇勒索软件攻击后，由于本地、甚至灾备中心的所有数据副本均被删除， 数据往往难以恢复，且伴随着隐私、机密数据的泄露。遭受勒索后，不仅面临赎金损失，还会面临商誉、商业机会、法律诉讼、人力和时间成本等连带损失，连带损失甚至是赎金损失的23倍以上，对金融行业造成巨大的持续伤害。

金融行业面临诸多数据安全风险

大数据时代，数据资产逐渐成为金融机构的核心竞争力，对助力金融机构的数字化转型发挥着显著作用。一方面，金融数据是关乎组织核心竞争力的重要资产，数据除了面对勒索攻击威胁，还有其他的安全挑战也如影随形。另一方面，随着各项行业监管政策和标准陆续发布实施，金融行业完善数据应用的安全性与合规性迫在眉睫，因此势必要加强金融数据安全保护。

01

数据安全合规风险

我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。金融行业也出台了一系列《关于银行业保险业数字化转型的指导意见》《中国银保监会监管数据安全管理办法》《保险中介机构信息化工作监管办法》等各项监管政策，监管要求日趋精细化，网络安全监管要求越来越多，满足监管的难度越来越大。

02

数据安全保障不全面

数据化时代，数据爆发式增长，金融行业数据呈现特征多、分布散、关系复杂、流转快等特点，这给数据资产的梳理带来极大的难度，对这些数据的全局性、体系化安全保障更是难上加难。

03

数据分类分级风险

海量、分布广泛、 结构各异的金融行业数据给单位对自身数据资产的梳理造成了困难，而建立在数据资产梳理基础之上的分类分级工作的实施则更无从谈起。

第三方风险管控保障金融行业数据安全

针对以上问题，道普信息风险管控专家建议，通过第三方信息化风险管控，采取多规管理融合、数据安全风险评估等手段，积极跟踪国内主要政策，切实落实数据安全要求，建立起可信赖的金融行业数据安全环境。

1、多规管理融合加强数据安全合规

基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，一次测评，多规满足，针对风险提出改进建议，帮助完成金融行业和合规整改。

2、数据安全风险评估可有效预防数据泄露

基于数据分类分级的风险评估模型，通过对数据与系统资产、数据供应链管理、合规性管理以及数据全生命周期安全管理等层面，对数据的全生命周期进行风险识别和评估，有效预防数据泄露。

3、构建安全防护体系实现数据安全运营

构建长期、有序、常态的运营体系，在前期做好基础安全防护，在具备基础之后，做好分类分级、数据流转，做分级管控和安全防护，实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现等安全运营。

金融行业是产生和积累数据量最大、数据类型最丰富的领域之一。金融数据是关乎企业核心竞争力的重要资产，随着金融数据作用的不断凸显，数据安全在新时代也面临新的风险与挑战。也因此，金融行业必须要守护好数据安全。道普信息风险管控专家强调，需要制定相应的策略来保护数据资源，系好合规这条“安全带”，有效地应对数据安全挑战，确保金融行业的可持续发展和繁荣。