保险机构如何保护客户信息安全？

澳大利亚医疗保险公司 Medibank 承认在近期的数据泄露事件中，有超过 390 万用户信息被曝光。

自本周二，Medibank 宣布所有客户数据都可能泄漏之后，对违规行为的调查现已确定黑客可以访问所有 Medibank、ahm和国际学生客户的个人数据，以及大量健康索赔数据。

这些个人信息包括姓名、地址、出生日期、一些 Medicare 卡号和性别。健康信息包括客户提出的索赔代码。

此外，除了黑客在过去两周内向保险公司提供的1000条记录外，Medibank 仍然无法确定有多少或哪些客户受到影响。不过正是通过与黑客的这种沟通，Medibank 才能确定迄今为止的违规程度。

事实上，保险公司被黑客攻击泄露客户个人数据的事件也不是什么新鲜事了。例如，去年8月，日本跨国保险公司东京海上控股（Tokio Marine Holdings）披露称，新加坡分公司新加坡东京海上保险（TMiS）遭受勒索软件攻击。虽然，当时该公司的母公司表示，可以“确认没有迹象表明集团的任何客户信息或机密信息遭到泄露。”但是，大部分勒索软件攻击事件也伴随有数据泄露问题，越来越多的攻击者会在加密之前从受害者网络中窃取敏感文件。

而且，去年不止是上述保险公司遭到黑客攻击，还有：

Ryan Specialty Group（一家保险中介公司）表示2021年4月曾检测到部分员工账户遭到未授权访问；

2021年3月，美国第七大商业保险公司CNA Financial Corporation遭遇Phoenix CrypotoLocker勒索软件攻击，攻击方还窃取了包含客户信息的文件；

2021年5月，Avaddon勒索软件团伙攻击了AXA（安盛）在泰国、马来西亚、香港及菲律宾的多家分支机构，并宣称成功窃取到3 TB数据；

2021年7月，一名攻击者声称从美国保险巨头 Humana 处窃取了超过 6000 名患者高度敏感的健康保险数据的数据库，包括该公司健康计划内客户可追溯到 2019 年的详细医疗记录。被泄露的信息包括患者姓名、ID、电子邮件地址、密码哈希、医疗数据等信息。

保险业是个人信息密集行业，保险公司收集、储存、使用个人信息存在体量大、范围广、敏感度高、涉及业务流程复杂等特点。这意味着持有大量用户个人信息的保险机构，就像是黑客眼里的一块“大肥肉”，谁都想来咬一口。据了解，此前，REvil勒索软件团伙的一名代表接受了Recorded Future情报分析师Dmitry Smilyanets的采访，并坦言保险公司已经成为勒索攻击者眼中极具吸引力的目标。

这位代号“未知”（Unknown）的代表宣称，保险公司是“最鲜嫩多汁的美味”。他们可以通过黑客攻击触及保险公司的客户群体，并以客户为要挟向保险企业施压，以此获取巨额赎金。据了解，美国最大保险企业之一CNA Financial公司在去年3月下旬遭遇勒索软件攻击后，被迫支付4000万美元，以换回对网络设施的正常控制。这次事件创下了历史上最高的已支付赎金金额的记录。

虽然近年来，我国保险业未有大型数据安全风险暴露，但是多年前，我国保险机构也曾暴露过数起客户信息泄露风险。例如，2013年，某保险公司近80万份保单信息可在其合作公司网站中公开查询；2015年，补天漏洞平台白帽子提交了一份关于某保险公司存在数据泄漏风险的漏洞信息，涉及数据包括客户身份证、银行卡号等敏感信息以及保险公司与其他机构合作的金额、开户公司、内部业务人员账号密码等相关机密。

与此同时，国内关于“保险公司泄露个人身份信息及联系方式”“医疗数据、驾驶行为习惯数据的获取与保护”等争议也始终存在。

目前，银保监会正在法规中强调数据安全的重要性，细化规则，填补漏洞。如：

在2021年发布的《保险中介机构信息化工作监管办法中》，也明确要求，保险中介机构在信息化工作方面应与关联企业有效隔离，不得违规泄露数据信息；

今年年初，中国银保监会印发了《关于银行业保险业数字化转型的指导意见》，也明确，银行保险机构要加强战略风险、创新业务的合规性、流动性风险、操作风险及外包风险等管理，同时防范模型和算法风险，强化网络安全防护，加强数据安全和隐私保护；

今年年初，中国银保监会还印发了《银行保险机构信息科技外包风险监管办法》，其中规定，银行保险机构在实施信息科技外包时：不得将信息科技管理责任、网络安全主体责任外包；保障网络和信息安全，加强个人信息保护；

今年3月，在银保监会举行的“银行业保险业深入推进金融消费者保护”专题发布会上，银保监会消保局局长郭武平表示，今年将组织开展银行违规涉企收费专项治理、开展银行业保险业个人信息保护专项整治等工作；

今年8月银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》，对金融机构个人信息权益保护也提出新要求。

另外，保险行业、保险公司也在积极落实、遵循《个人信息安全保护法》、《数据安全法》、《个人金融信息保护技术规范》、《保险法》等法律法规。

而关于保险公司如何保护客户信息安全，一方面，需要监管夯实，另一方面，也需要保险机构继续强化数据安全管理，继续完善数据治理机制、数据分类分级制度、信息科技外包风险管理、APP个人信息保护、金融消费者权益保护等一系列制度，以及展开前沿金融科技应用，保障金融保险行业数据合规、安全。

例如，保险机构应当建立数据安全管理制度，强化相关人员的法律责任，具体应从以下环节加强管理：首先，保险公司需要在数据录入、存储、复制、传输等环节加强管理，既要采用技术手段防数据泄漏，又要安排专门人员分别负责相关工作。其次，保险公司需要对所有数据进行分级管理，一方面对某些数据进行脱敏技术加工，另一方面授予不同级别人员不同的访问权限。

此外，需要注意的是，由于部分保险公司对客户信息管理不严格，或给“内鬼”留下可钻的漏洞，导致客户信息泄露。例如：

职业化第三方及保险公司内部人员非法获取保险客户信息、误导或怂恿保险客户非正常退保的情况在这两年十分普遍，例如，此前，广州警方破获一起新型恶意退保案，先后抓获黄某、朱某、郭某雄等犯罪嫌疑人3名，其中包括两名保险公司“内鬼”。该案涉及恶意退保金额超400万元、违法所得100万元；

2017年5月，某保险公司已离职的余某、把某找到前同事陈某、刘某，以每月1万元报酬为诱饵，指使两人利用职务之便非法下载、对外传输公司客户信息。余某把一份完整的信息卖给下家，最高售价可达16元。到2017年11月，该犯罪团伙共非法获取公民信息1000余万条，涉案金额2000余万元；

2014年，某保险公司陈某离职前，将工作中收集的211575条车辆投保人员的个人信息（包括车主姓名、车主电话号码、车辆型号、车牌号码等车主信息）拷贝到自己的U盘中带离公司，并将这些公民个人信息非法提供给他人。

那么，对于此类“内鬼”泄露客户信息事件，保险机构又要如何保护客户信息安全，防范此类事件呢？

数影空间致力于为企业构建一站式安全办公空间，帮助企业管理应用、数据、账号、网络，让员工以更安全、更高效、更智能的方式开展工作。

而且，数影坚持始终在线、永不落地的原则，将个人信息数据部署到企业安全区域，通过权限管控、数据脱敏、数字水印、行为审计等技术功能，设置任何的拷贝、下载、存储、外设连接等操作权限，确保客户个人敏感信息不在操作终端落地，进而严控个人敏感数据获取与外发渠道。同时，不受信任网站访问、邮件外发、违规使用UBS、屏幕拍照等异常行为，都可在数影空间内实时监测，管控所有数据出口。