这起事件是警方在调查其他黑客入侵案件时发现的。渣打银行在随后的声明中表示,资料偷窃者是通过入侵其合作的第三方打印服务供应商富士施乐的一个服务器实施犯罪。富士施乐主要负责为渣打银行的私人银行客户提供账单打印服务。
事件曝出,新加坡行使中央银行职责的金融管理局(金管局)发布公告称这一事件为“孤立”事件,金管局将根据渣打银行对该事件的调查报告考虑是否采取监管行动。金管局也说,金融机构面临的网络威胁日益增多,犯罪方式也多种多样。金管局严正看待这一风险,并严格要求所有金融机构保障自身IT系统安全,保证客户信息不被外泄。
实际上,作为新兴的财富管理中心,新加坡一直以其对客户信息保护的良好声誉受到全球高净值人士的青睐。在新加坡《银行法》中,对客户信息保护相关条款的表述甚至比老牌财富管理中心瑞士的法规更为严格。若违反该法泄露客户信息,个人可被处以不超过12.5万新元(1美元约合1.27新元)的罚款,或者不超过三年的监禁,或两者并处。若为法人团体,则可被处以不超过25万新元的罚款。
正是由于泄露客户信息违法成本很高,因此不论是从银行管理层面的监管、教育和培训,还是从银行从业人员本身的自律来说,对客户信息的保护都极为谨慎。甚至连马来西亚反贪污委员会副主席苏克里都曾抱怨新加坡银行保密程度太高,他所在的机构派人去查都无从下手。
不过,尽管违法成本很高,从业人员的法律责任很明确,但随着现代科技的不断发展,对客户信息的保护仍然面对众多挑战,渣打银行客户信息外泄就是案例之一。
金管局在回应新加坡本地媒体的报道时说,新加坡银行大多建立了健全的IT安全标准,保证高效地提供服务,同时有效保障客户信息安全。“这些标准由银行本身的内部IT系统策略实现,同时也满足金管局在其《技术风险管理指南》要求的最低标准。”金管局的指南要求银行必须对它们内部系统和网络进行定期内测,包括安全漏洞评估,并通过触探检测识别和纠正安全漏洞。
除了对金融机构进行严格且细致的监管外,金管局也同样将触角深入到为金融机构提供外包服务的第三方公司。根据该机构去年发布的《技术风险管理指南》,金融机构必须要求第三方服务商实施与其自身内部“同等严格的”安全策略,金融机构也需监控并适时评估第三方服务提供商的安全策略等。金管局强调说,渣打银行事件虽然是“孤立事件”,但金融机构也需要提高警惕,尤其需要注重管理服务供应商的相关风险。
