安恒信息2023年2月金融业安全资讯

-页金融行业相关金融科技加持中小银行开启数字化转型“加速度”近两年，数字化转型的“聚光灯”已经逐渐聚焦在中小银行身上。在金融科技的加持下，多家中小银行开启了数字化转型“加速度”，实现了经营发展的“弯道超车”。随着ChatGPT的快速升温，其在金融场景领域的探索也已经拉开序幕。近期，多家中小银行宣布正式开启对ChatGPT应用的探索。检查官王朝弟谈金融科技发展、监管与数据安全等2月25日，在由中国金融四十人论坛和中国金融四十人研究院联合主办的“明珠湾金融峰会（2023）”上，银保监会首席检查官王朝弟在主题演讲中表示，万物数据化、万物智联化的时代，经济金融更加离不开科技支持，但金融科技并非十全十美，并不是包治普惠金融百病的“万能药”。金融科技赋能反洗钱数字化转型跨入数字经济时代，金融科技日新月异，推进金融科技与反洗钱深度融合，成为反洗钱改革创新的必由之路。本文针对当前反洗钱面临的问题，系统梳理金融科技赋能反洗钱监管数字化转型的路径，展望金融科技赋能反洗钱的未来方向与目标，提出构建“信息动态感知、数据精准分析、业务智能支撑”的反洗钱监管系统化构想，并在借鉴国内外领先金融机构特别是互联网金融公司实践经验的基础上，探索制定从规划布局、技术架构、数据治理、风控机制等多维度协同推进反洗钱领域科技应用的策略。银行业APP个人信息保护合规性研究与探索移动互联网发展下，APP成为人们经济生活重要部分，对于服务民生、促进社会经济发展具有重要作用。数据经济时代中，消费者每天产生海量数据，对银行业来说等同于“金矿”，能够挖掘有价值客户信息，却也衍生出个人信息保护问题。工业和信息化部、市场监督总局、中央网信办、公安部等于2019年联合颁布《关于开展APP违法违规收集使用个人信息专项治理的公告》，组建专项工作组，落实APP违规收集用户信息治理行动，对个人信息保护加强监管。中国人民银行于2020年颁布《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》，要求落实个人金融信息保护，维护用户合法权益。隐私计算助力金融行业反欺诈风控随着信息通信技术的发展，各行各业信息系统采集、处理和积累的数据量越来越多，全球大数据储量呈爆炸式增长。2020年，中共中央国务院公开发布的《关于构建更加完善的要素市场化配置体制机制的意见》首次将数据作为一种新的生产要素类型，表示数据资源的开放共享、交换流通成为重要趋势，也表明数据要素的高效配置是推动数字经济发展的关键一环。数字化转型已成为金融业提高服务质量和竞争力的共同选择，为客户带来更加高效、优质的金融服务。金融科技监管的国际比较与启示研究008年国际金融危机之后，各国政府都出台了强监管政策加强对金融市场监管，强监管政策极大程度刺激了金融科技监管与合规性的发展。随着欧洲巴塞尔协议III（BaselIII）、美国多德-弗兰克法案（Dodd-FrankWallStreetReformandConsumerProtectionAct）、欧盟金融工具市场法规（Mi-FID）等监管法案的出台，传统金融监管手段与合规手段已无法满足当前监管与合规需求。近年来，人工智能、大数据等新兴技术的出现，科技与金融领域深度结合的方式正在改变整个金融市场，同时也给金融科技监管带来了巨大的挑战。2015年以来，美国、英国、日本、新加坡、加拿大等发达国家开始探索创新科技在金融监管领域的应用，目的皆在利用创新技术提升监管机构的监管效率、降低被监管机构的合规成本与压力。银行网络安全体系发展及趋势思考随着数字经济的快速发展，我国银行业务服务模式与技术架构发生了深刻变革。尤其在数字化转型背景下，网络安全作为保障银行业务稳定连续运行的基础，正面临更大的挑战。银行网络安全体系与银行技术、业务架构密切相关，先后经历了分散外挂防护、集中边界防护、纵深防护等阶段。随着银行数字化转型工作的深入推进，银行网络安全体系持续升级，并逐步向全面防护、攻防能力相长的新体系演进。国家信息安全工作工信部发布《关于电信设备进网许可制度若干改革举措的通告》2月6日，工信部发布《关于电信设备进网许可制度若干改革举措的通告》：对卫星互联网设备、功能虚拟化设备，按照《电信条例》《电信设备进网管理办法》等规定，纳入现行进网许可管理。《国家网络空间海外利益保护白皮书》发布党的十八大以来，我国更加深入开展对外开放，参与全球化进程。通过与海外国家和地区开展经贸领域互利共赢合作，我国海外利益拓展迅速，海外人员、机构和投资等规模不断扩大。但网络空间作为数字经济数据要素的重要载体，其安全问题是数字经济发展的前提和基础。网络空间中存在的发展不平衡、规则不健全、秩序不合理，以及关键信息基础设施风险隐患和网络恐怖主义、网络犯罪等问题，给我国数字经济“走出去”和国家发展与安全大局带来诸多挑战。《2022年工业信息安全态势报告》正式发布2022年俄乌战争爆发叠加新冠疫情影响，引发国际关系和安全格局大裂变，加剧工业领域安全威胁，全球工业信息安全形势愈发严峻。在此背景下，国家工业信息安全发展研究中心（以下简称中心）联合业界优秀力量共同编制《2022年工业信息安全态势报告》（以下简称报告），并于2月14日召开发布会，围绕工业信息安全发展态势展开交流研讨。《工业和信息化部行政执法事项清单（2022年版）》公布，15项涉及数据安全近日，工业和信息化部对外公布了《工业和信息化部行政执法事项清单（2022年版）》。其中，涉及数据安全的行政执法事项共计15条（第247-261条），具体如下：最新《API行业白皮书》正式发布！API（应用程序接口）作为传输数据与连接服务的桥梁，越来越广泛地应用在Web、移动应用和后端系统集成等场景中。在互联网+的背景趋势下，API更加深入地应用到各行各业的数字化生态之中，已经成为构建信息时代的核心元素，各企业、团队普遍通过调用API来高效、低成本、快速地获取数据和技术能力。所以，API不仅发展成为了产品本身，更成为了企业承载价值、连接业务的核心载体。为了更好的了解API行业的发展现状，给行业带来新方向，Apipost联合星阑科技发起了这次针对API行业的调查研究，通过大量的数据调研和汇总分析，最终形成了这份《2022年API行业白皮书》，该白皮书全面回顾了2022年API的深度应用、行业现状、从业人员（参与API设计、研发、上线以及维护的相关人员）画像、行业痛点以及对行业未来的展望，重点分析了API所面临的新发展形势及其新的发展阶段，为各界提供参考，共同推动API行业持续健康发展。国家网信办公布《个人信息出境标准合同办法》通信世界网消息（CWW）2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），自2023年6月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。中国发布《全球安全倡议概念文件》2月21日，中国外交部举办蓝厅论坛，发布《全球安全倡议概念文件》。文件提到，要深化信息安全领域国际合作。中方已提出《全球数据安全倡议》，希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则。持续推进落实《中国－阿拉伯联盟数据安全合作倡议》和《“中国+中亚五国”数据安全合作倡议》，共同应对各类网络威胁，构建开放包容、公平合理、安全稳定、富有生机活力的全球网络空间治理体系。外媒称国有企业被建议停止与“四大”会计师事务所合作北美当地时间2023年2月22日，彭博社（B）报道称，根据消息人士的信息，中国政府由于数据安全的风险敦促国有企业放弃与“四大”会计师事务所的合作。安全事件与攻防技术骗子在前10大勒索软件攻击中净赚7000万美元自2020年以来观察到的前10大勒索软件攻击为威胁行为者赚取了近700亿美元的比特币。为什么网络罪犯如此依赖这种特殊的加密货币？“进入2023年，勒索软件仍然是对组织的主要威胁。就在本月早些时候，《卫报》和《皇家邮政》透露受到了严重的勒索软件攻击，”Web3漏洞赏金和安全平台Immunefi的一份新报告中写道。金融应用程序公开用户数据一款名为“MoneyLover”的金融应用程序被发现泄露了用户交易及其相关的元数据，包括钱包名称和电子邮件地址。该公司于2月7日在博客文章中发布了调查结果。MoneyLover由总部位于越南的Finsify开发，是一款用于管理个人财务的工具：预算、跟踪费用等。它可在适用于Android的GooglePlay、适用于PC的MicrosoftStore和适用于iOS的AppStore中获得，它在1,000多名评论者中获得4.6星评级，这些评论者可能会或可能不会受到该漏洞的影响。假冒财务部门，针对中国用户的二维码钓鱼欧洲警方破解加密消息应用Exclu逮捕42人在破解了犯罪分子使用的加密消息应用Exclu后欧洲警方逮捕42名嫌疑人，缴获了枪支、毒品和数百万欧元现金。Exclu是最新一个被警方破解的加密消息应用，在欧洲多地发起联合突击搜查前，警方和检方在Exclu系统中潜伏了五个月，阅读了犯罪分子之间的通信。有大约3000人使用Exclu系统，其半年订阅费用高达800欧元。调查始于2020年9月，警方在比利时、德国和荷兰的79处地点展开了搜查，关闭了Exclu消息服务。被捕者包括了该应用的使用者和控制者，以及所有者。荷兰警方称其突击搜查行动至少发现了两个毒品实验室、一个可卡因加工厂、数公斤毒品、400万欧元现金、奢侈品和枪支。加密货币交易所Coinbase遭遇网络诈骗攻击一个老练的威胁参与者发起了一场针对加密货币交易所Coinbase员工的诈骗活动。据该公司称，2023年2月5日，其部分员工收到短信，要求他们使用嵌入式链接紧急登录账户。大多数员工都忽略了这条消息，但该公司透露，一名员工点击了该链接并输入了他的凭证。“登录”后，系统会提示员工忽略该消息。挪威当局查获Lazarus黑客584万美元加密货币日前，挪威警察局Økokrim宣布，在AxieInfinityRoninBridge遭到黑客攻击后，没收了LazarusGroup在2022年3月窃取的价值6000万挪威克朗（约合584万美元）的加密货币。在美国财政部牵连朝鲜支持的黑客组织从Ronin跨链桥盗窃6.2亿美元之后的10个多月后，事态发展出现了。Enigma信息窃取恶意软件针对加密货币行业Trendmicro的研究人员最近发现一项攻击活动，该活动以虚假就业为借口，针对加密货币行业的东欧人安装信息窃取程序。在这次活动中，疑似俄罗斯威胁行为者使用几个高度混淆和开发不完全的自定义加载程序，以便使用Enigma窃取程序（检测为TrojanSpy.MSIL.ENGIMASTEALER.YXDBC）感染加密货币行业的人员，这是Stealerium信息窃取器的改进版本。除了这些加载程序之外，攻击者还利用英特尔驱动程序漏洞CVE-2015-2291来加载恶意驱动程序，目的是降低MicrosoftDefender的令牌完整性。参考资料与信息大数据时代企业应加强数据合规体系建设随着数字经济发展，数据成为新型生产要素，也成为重要的企业资源。发展数字经济，既要强化制度保障，促进数据的高效流通使用，也要重视数据安全，引导企业做好数据合规。近年来，数据作为新型生产要素，已成为推动数字经济发展的核心引擎。与此同时，数据安全问题较为凸显，数据过度滥用、数据泄露、利用各类数据违法犯罪等问题层出不穷，企业数据刑事合规越来越受到重视。如何在2023年防止数据泄露在当前的网络安全环境中防止数据泄露的关键是准确了解它们是如何发生的并覆盖您的整个攻击面。剖析数据丢失，并展示可能影响数据安全的具体弱点。洞见：2023年网络安全34个关键数据2023年对企业网络安全人士并不友好：数字化转型深入、攻击面快速增长，人工智能技术爆发，网络犯罪正在成为第三大“经济体”，地缘政治和战争进一步加剧技术去中立化和巴尔干化，黑客攻击技术日趋复杂化和“民主化”，而企业网络安全预算和人力资源却拙荆见肘。2023年五个关键网络安全趋势CyberQGroup预测的2023年五个关键网络安全趋势《2023年全球网络安全展望》：超越合规安全最大挑战是时间日前，世界经济论坛2023年年会在瑞士再次召开，论坛关注全球经济走势的同时，每年都会同步关注网络安全在其中发挥的关键作用，在本届达沃斯年会上也如期发布了《2023年全球网络安全展望》，以研究未来一年将全面影响经济和社会的网络安全趋势。CISO报告|2023年网络安全和隐私行动手册近日，《2023年全球数字信任洞察调查报告》（the2023GlobalDigitalTrustInsights）发布。该报告调研了全球60多个地区的不同行业，共计3522名业务、安全和信息技术领域领导者，介绍了2023年的网络安全领域新挑战、CISO的工作与价值，结合现实编写了企业高管层网络安全手册，并厘清了网络安全的具体需求场景及解决方案（本文要点），为企业应对全球数字信任挑战提供了可行的发展计划。美国NSA安全运营关键原则美国国家安全局的网络