中小险企“防火墙”有点弱　监管喊话有漏洞抓紧补

自去年银保监会启动网络安全专项治理工作以来，持续组织开展了一系列风险排 查和整治工作，银行保险机构网络安全管理能力进一步提升。据上证报记者独家获悉 ，２０１９年，主要保险机构信息科技直接投入３３０多亿元，同比增长１６．９％ ；信息科技正式人员总数２．４万人，同比增长１３．８％。 不过，监管部门在检查中发现，仍然存在部分机构董事会、高管层对网络安全的 重视程度不足，部分机构安全管理制度不健全、执行不严格，部分机构对重要业务数 据的安全管理不到位，部分机构关键设备老化，部分机构对业务连续性管理重视程度 不够，部分机构外包风险管理不到位等问题。 从监管评级评分情况来看，各保险机构之间的信息科技水平也参差不齐。２０１ ９年度，监管部门共对２２５家主要保险机构开展了信息科技评分，平均为７７．６ ６分，最高分９０．６６分，最低分４８．３６分。 业内人士透露，近日，监管部门就在保险业内部通报了地方监管局成功处置一起 “非法入侵保险机构移动出单系统，为异地投保车辆逃缴车船税”案件。此案为保险 业防范网络安全风险再次敲响了警钟。 在这起案件中，某保险公司基层机构移动出单网络系统遭受非法入侵，不法分子 窃取公司员工用户名和密码登录系统，冒充保险从业人员，通过ＱＱ及微信与车主联 系，承诺只需缴纳少量费用，便可减免车船使用税，个别消费者因贪图便宜而被不法 分子利用。不法分子意图通过为异地号牌车辆投保交强险，录入虚假车船税完税信息 ，以逃避缴纳车船税。因发现较早，该入侵行为被及时制止。 对于背后成因，监管部门在通报中分析称，主要有三点：一是防范系统入侵技术 滞后，部分保险机构网络系统尤其是终端业务系统安全设置不高，在应对网络恶意入 侵或攻击时，无法实现有效识别和拦截；二是网络安全内控管理薄弱，部分保险机构 网络安全风险意识不强，内部管控不严格，未及时清理无效用户，未定期开展自查整 改，应急处置机制未有效发挥作用，网络安全防范技能有待进一步提高；三是消费者 缺少法制观念和风险防范意识，部分消费者存在“少缴费，少花钱”的比价心态，以 及被发现几率较小、违法逃税程度不严重等侥幸心理，易被不法分子诱导。 基于此，监管部门喊话各保险机构：面对严峻复杂的外部环境，保险机构应进一 步强化主体责任，加强预防研判，提高风险甄别和防范能力。同时提出六点要求：完 善信息科技治理等层设计，强化网络安全管理，加大数据安全管控力度，加强基础运 维安全保障，提升业务连续性管理能力，重视外包风险防控。 具体来看，首先，各保险机构应建立应急处置机制，增强主动防御能力，包括健 全网络安全应急处置机制、增强网络安全主动防御能力、提高安全设备迭代升级频率 。其次，提升风险甄别能力，加强安全风险排查。同时，应加大网络安全投入，强化 普法宣传教育。 “监管鼓励有条件的保险公司探索利用云计算、大数据及人工智能等高新技术资 源，在互信共治的前提下，建设保险网络安全整体防御机制。此外，也应强化消费者 权益保护和普法宣传教育，提醒广大消费者通过正规途径办理保险业务，提高客户对 金融法律知识的了解，增强守法意识。”一家保险公司相关负责人说。 [32] \t