—— 中新系全媒体矩阵 ——
新闻行业垂直网站“谁的业务数据就应该存在谁那儿,以后业务侧出了问题,金融机构不能赖账。”一位大行信息科技部门负责人向记者表示。
对于银行、保险、理财子公司等金融机构而言,即时通讯软件是客户营销、财富管理等业务板块的必备工具,但在客户经理与用户的交流记录中往往隐含着多类客户个人敏感数据。尽管目前大型金融机构已建立了自己的数据中心与私有云,但部分中小型金融机构以及部分大行业务板块仍有相关数据在供应商提供的公有云上留存。
对金融机构来说,一场数据和系统的私有化迁移潮正悄然展开。
《通知》指出,这一案例体现了两个主要风险,一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。在开展数字生态合作时,银行保险机构外包风险主管部门、科技和数据管理部门未参与,缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。二是银行保险机构对合作中数据安全风险和责任识别划分不清。数字化转型合作业务场景连接,技术渠道相互嵌入,数据存储、交互情况复杂,银行保险机构对业务、技术、数据等方面的风险识别不清晰,责任划分不明确,存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。
值得关注的是,在相关通知中,除了开展风险自查、加强科技风险统筹管理、加强非驻场外包风险监测和监管报告以外,监管要求银行保险机构采取针对性安全保护措施,其中提到:银行保险机构对外提供数据应按“业务所需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。
金融机构即时通讯软件等系统的私有化部署节奏正在加速。
“之前我们用的都是腾讯公有云的saas服务,现在按照相关要求我们需要做私有化部署。”某理财子公司科技部门人士告诉记者。
对于金融机构来说,其业务数据储存的方式主要有公有云、私有云、本地化部署等三种。
储存在公有云的数据相当于住在酒店里,由第三方服务商提供相关服务,机构可通过运营商网络访问相关数据,在算法层面进行数据加密;储存在私有云的数据相当于住在租的公寓里,机构可以租用云服务商提供的服务器,在此基础上搭建自己的系统,只能通过内部网络调用数据;进行本地化部署的数据相当于住在自建房中,需要机构自建机房、数据中心等硬件设施,数据只能储存在本地。
据21世纪经济报道记者从多位受访人士处了解到,对于科技投入受限的机构来说,目前金融机构的系统的私有化迁移主要是由公有云迁移至私有云。
“如果实现数据和系统的私有化部署,就是在前端使用即时通讯软件,后端数据储存在银行本地服务器或我们自己的私有云上。”某大行科技部门领导表示。
有金融机构科技子公司领导告诉记者,其所在单位已完成了即时通讯软件的完全私有化部署与信创改造,主要用于协同办公。
对于金融机构而言,“上云”一直是数字化转型的必经之路,但在数据安全管理趋严的背景下,部分在公有云上部署系统的机构“下云”之路却不好走。
在2022年ibm发布的《ibm企业转型指数:云现状》中提到,80%的企业已经考虑或正在考虑将已部署到公有云上的工作负载迁回私有的基础设施,其考虑“云回迁”共有四大原因:第一是为了改善性能与减少延迟,第二是出于安全与合规的考虑,第三是为了避免与供应商锁定,第四是为了降低成本,其中金融服务业就是出于安全原因率先考虑迁出公有云的行业。
“我们目前遇到的问题是相关软件无法把历史数据从公有云迁移至私有云,包括好友、聊天记录、群组等等,对理财子公司交易业务沟通对接影响很大。”前述理财子科技部门人士向记者指出,对于中小金融机构而言,一方面系统迁移需要投入更高的成本,另一方面历史数据无法迁移的问题现在亟需突破。
一位曾担任国有大行资深业务架构师的专家向记者介绍,很多大行在很早以前就实现了即时通讯软件的私有化部署,他认为对于金融机构而言相关系统的私有化痛点主要不在于软硬件成本,而在于历史数据迁移。
21世纪经济报道记者了解到,机构“下云难”的原因有两个方面:一是历史数据的单向加密导致解密存在困难,二是由于供应商锁定导致迁移困难。
“存在部分数据单向加密后无法解密迁移的问题。”前述科技子公司领导告诉记者,其目前的尊龙官方网站的解决方案是历史数据在过去的服务商公有云上用于备查,新的数据以私有化部署落地的形式使用,但这对业务体验会大打折扣,现在还在寻找新的尊龙官方网站的解决方案。记者了解到,为保证存储在第三方云平台上的数据,云服务商会对敏感数据使用加密算法,使用公钥对数据进行加密,接收者使用私钥进行解密,而部分数据存在单向加密情况。
也有银行cio告诉记者,历史数据向私有云迁移在技术上可以实现,但是厂商方面不配合支持相关服务,导致银行在没有密钥的情况下无法单向解密。