该《通报》首先提示保险公司、保险资管公司在内的保险机构防范新型网络攻击威胁。APT(高级持续性威胁,Advanced Persistent Threat)是近年来兴起的一种新型网络攻击方式。它对大型企业,特别是银行等金融机构的针对性日益增强,造成的威胁越来越大。目前全球已披露了数起APT攻击案例,韩国等国金融机构均曾遭受攻击,出现了不同程度的金融信息泄露。
另外,《通报》称,在保险业2013年信息安全检查中,经有关单位检测发现部分保险公司信息系统存在安全隐患。一是某公司应用系统管理员账户存在弱口令,攻击者可轻易获取该公司管理员权限;二是某公司互联网应用系统存在SQL注入和文件上传漏洞;三是部分公司网站采用Apache Struts Xwork应用软件版本较低,存在远程代码执行高危漏洞。上述管理或技术漏洞导致系统存在信息泄露、公司网络被攻击等重大信息安全风险隐患。
今年年中,保监会曾下发《关于开展2013年保险业信息系统安全检查工作的通知》,以进一步加强信息安全管理工作,防范科技风险,保障公司信息系统安全平稳运行,确保商业信息和客户信息安全。某地方保监局据此设定对省级分公司的检查内容包括:信息安全责任制建立和落实情况、日常管理制度及落实情况、信息系统安全管控情况、数据管理和灾备建设、应急响应体系建设情况等内容。相关检查分为公司自查和现场检查两个阶段,第一阶段为公司开展自查整改(2013年6月-7月中旬),第二阶段为保监局对部分公司现场进行抽查(2013年8月-9月)。
《通报》要求各保险公司对上述信息安全问题和事件引以为戒,对APT引发的安全问题足够重视,防止弱口令、SQL注入、文件上传等漏洞带来的安全问题,及时进行组件升级,定期排查和评估潜在风险,不断增加主动发现风险和排查故障的技术能力,有条件的公司应聘请专业安全机构定期进行监测,提高风险防范水平。
慧择提示:保险业安全问题应该是各个机构日常工作中关注的一部分,各保险机构要对安全问题提起足够的重视,避免此类问题的再发生。