险企网络安全内控管理薄弱 监管要求提高风险防范

自去年银保监会启动网络安全专项治理工作以来,持续组织开展了一系列风险排查和整治工作,银行保险机构网络安全管理能力进一步提升。据上证报记者独家获悉,2019年,主要保险机构信息科技直接投入330多亿元,同比增长16.9%;信息科技正式人员总数2.4万人,同比增长13.8%。

保险行业
保险行业

不过,监管部门在检查中发现,仍然存在部分机构董事会、高管层对网络安全的重视程度不足,部分机构安全管理制度不健全、执行不严格,部分机构对重要业务数据的安全管理不到位,部分机构关键设备老化,部分机构对业务连续性管理重视程度不够,部分机构外包风险管理不到位等问题。

从监管评级评分情况来看,各保险机构之间的信息科技水平也参差不齐。2019年度,监管部门共对225家主要保险机构开展了信息科技评分,平均为77.66分,最高分90.66分,最低分48.36分。

业内人士透露,近日,监管部门就在保险业内部通报了地方监管局成功处置一起“非法入侵保险机构移动出单系统,为异地投保车辆逃缴车船税”案件。此案为保险业防范网络安全风险再次敲响了警钟。

在这起案件中,某保险公司基层机构移动出单网络系统遭受非法入侵,不法分子窃取公司员工用户名和密码登录系统,冒充保险从业人员,通过QQ及微信与车主联系,承诺只需缴纳少量费用,便可减免车船使用税,个别消费者因贪图便宜而被不法分子利用。不法分子意图通过为异地号牌车辆投保交强险,录入虚假车船税完税信息,以逃避缴纳车船税。因发现较早,该入侵行为被及时制止。

对于背后成因,监管部门在通报中分析称,主要有三点:一是防范系统入侵技术滞后,部分保险机构网络系统尤其是终端业务系统安全设置不高,在应对网络恶意入侵或攻击时,无法实现有效识别和拦截;二是网络安全内控管理薄弱,部分保险机构网络安全风险意识不强,内部管控不严格,未及时清理无效用户,未定期开展自查整改,应急处置机制未有效发挥作用,网络安全防范技能有待进一步提高;三是消费者缺少法制观念和风险防范意识,部分消费者存在“少缴费,少花钱”的比价心态,以及被发现几率较小、违法逃税程度不严重等侥幸心理,易被不法分子诱导。

基于此,监管部门喊话各保险机构:面对严峻复杂的外部环境,保险机构应进一步强化主体责任,加强预防研判,提高风险甄别和防范能力。同时提出六点要求:完善信息科技治理等层设计,强化网络安全管理,加大数据安全管控力度,加强基础运维安全保障,提升业务连续性管理能力,重视外包风险防控。

具体来看,首先,各保险机构应建立应急处置机制,增强主动防御能力,包括健全网络安全应急处置机制、增强网络安全主动防御能力、提高安全设备迭代升级频率。其次,提升风险甄别能力,加强安全风险排查。同时,应加大网络安全投入,强化普法宣传教育。

“监管鼓励有条件的保险公司探索利用云计算、大数据及人工智能等高新技术资源,在互信共治的前提下,建设保险网络安全整体防御机制。此外,也应强化消费者权益保护和普法宣传教育,提醒广大消费者通过正规途径办理保险业务,提高客户对金融法律知识的了解,增强守法意识。”一家保险公司相关负责人说。