新聞源 財富源

2024年12月21日 星期六

財經 > 保險 > 保險要聞 > 正文

字號:  

資訊洩露將被禁售産品 保險機構網銷平臺仍存漏洞

  • 發佈時間:2015-07-30 08:44:50  來源:中國新聞網  作者:蘇向杲  責任編輯:劉波

  移動互聯網領域存在的各種漏洞再次讓人們繃緊了神經。

  近日,網路安全公司Zimperium研究人員警告,全球應用最廣泛的移動設備作業系統之一安卓(Android)存在“致命”安全漏洞,“駭客”只需簡單發送一條彩信便能在用戶毫不知情的情況下完全控制手機,全球9.5億部手機受到威脅。

  而《證券日報》在上週刊發的關於保險公司網銷平臺存在高危漏洞相關報道(詳見7月23日《白帽駭客:部分銀行險企網路平臺存在漏洞》)見報後,發現此前存在漏洞的網銷平臺,依然“漏洞百齣”。 記者發現,不僅此前報道的保險公司網銷平臺存在漏洞,一些大型保險仲介機構的網銷平臺也存在漏洞,甚至是一些地方的社保系統也存在漏洞。

  保監會相關負責人近期明確表示,針對網際網路資訊安全風險高的特點,保監會加大了對保險機構不嚴格履行資訊披露和安全管理職責的懲戒力度。對因內部管理不力造成銷售誤導、資訊丟失或洩露等嚴重事故的保險機構,保險監管機構可以及時責令其停止相關産品的銷售。

  哪些機構未發現漏洞

  根據中國保監會統計,2015年1-5月,共有91家保險公司涉足網際網路保險業務,累計實現保費收入659.93億元,網際網路保險業務規模佔比已達5.7%,比2014年同期提升1.5個百分點。

  中國保監會財險部主任劉峰指出,目前網際網路保險市場有四類經營主體並存:保險公司自營、專業仲介機構經營、保險機構與第三方網路平臺合作,以及專業網際網路保險公司。

  在這四類主體中,保險公司近期被曝出網銷平臺存在高危漏洞,那麼其他三類安全嗎?記者查閱國內的漏洞盒子、補天漏洞等漏洞檢測平臺發現,目前已經投入運營的專業網際網路保險公司僅眾安保險一家,暫未發現漏洞;與保險機構合作的第三方網路平臺(目前國內保費份額最大的第三方網路平臺是淘寶保險)也未發現漏洞。

  而專業仲介機構經營的網銷平臺卻被檢測出各類漏洞。

  7月19日,補天漏洞響應平臺檢測出某保險經紀有限公司多處SQL注入漏洞;7月15日,該平臺檢測出另一家大型保險仲介機構網站存在可洩露保單、身份證資訊的漏洞;5月9日,該平臺檢測出另一家保險經紀有限公司某保險系統可任意上傳文件導致伺服器淪陷的漏洞。

  如果説消費者在買保險後發現自己的資訊被洩露了倒可以理解的話,那麼有一天自己出去旅遊了一趟之後,發現自己的家庭地址、身份證號碼、電話等資訊被“盜取”了,而且是通過保險渠道洩露的,是不是有些匪夷所思?

  事實上,這樣的事情已經發生。3月份,補天漏洞平臺發佈了一條高危漏洞,該漏洞可造成某旅遊網站一百七十萬件保單以及保單系統資訊泄漏。公開資料顯示,該旅遊網站是是國內最大的出境遊社區,為用戶提供原創實用的出境遊旅行指南和旅遊攻略、旅行社區和問答交流平臺,核心産品行程助手和窮遊折扣幫助用戶在旅行的行前制定行程,完成機票、酒店預訂、簽訂、租車等服務。

  值得贅言的是,記者在漏洞平臺發現部分地方的人社局社保系統也存在漏洞。5月27日,補天漏洞平臺發佈了一則漏洞,該漏洞可使得廣東省某市人社局某系統漏洞4個庫共2500萬條敏感資訊危險洩露,並可隨意發送短信。國家網際網路應急響應中心確認漏洞,並將漏洞評級為“中危”,並表示“CNVD確認並復現所述漏洞情況,已經轉由CNCERT下發給廣東分中心,由廣東分中心後續協調網站管理單位處置。”

  保監會加強資訊安全監管

  保監會近日發佈的《網際網路保險業務監管暫行辦法》(下稱《辦法》)答記者問中,對保險機構的資訊安全問題也提出具體監管措施。

  保監會相關負責人表示,針對網際網路資訊安全風險高的特點,保監會要求保險機構加強資訊安全管理,確保網路保險交易數據及資訊安全。同時,保監會還將加大了對保險機構不嚴格履行資訊披露和安全管理職責的懲戒力度。對因內部管理不力造成銷售誤導、資訊丟失或洩露等嚴重事故的保險機構,保險監管機構可以及時責令其停止相關産品的銷售,以確保保險機構切實履行資訊披露和安全管理義務,更好地保護消費者利益。

  雖然保險仲介機構網銷平臺被曝出漏洞,但險企官網與第三方網路平臺才是網銷保費收入的主要來源,因此保監會新發佈的《辦法》也加強了對第三方網路平臺的管理。

  保監會相關負責人表示,在網際網路保險業務發展過程中,部分第三方網路平臺對保險業務不熟悉,合規風控意識薄弱,出現了違規承諾收益、産品資訊披露不合規等違法違規現象,引發了社會廣泛爭議,甚至是對保險業的負面評價和質疑。

  因此,保監會明確了第三方網路平臺的業務邊界,強化了其參與網際網路保險業務的行為約束:一是明確職責定位,第三方網路平臺可以為保險機構開展網際網路業務提供輔助支援,若第三方網路平臺參與了網際網路業務的銷售、承保、理賠等關鍵環節,則必須取得相應的保險業務經營資格。二是強化合規管控。《辦法》明確了第三方網路平臺的業務規則,並要求保險機構加強對第三方網路平臺等合作單位的管控責任,切實履行將保險監管要求告知第三方網路平臺的義務。三是實施監督管理。《辦法》明確規定第三方網路平臺有配合保險監管部門日常監管和現場檢查的義務,若有違反,保險監管部門可以責令保險機構終止與其合作。

熱圖一覽

  • 股票名稱 最新價 漲跌幅