险企网络安全内控管理薄弱 监管要求提高风险防范

自去年银保监会启动网络安全专项治理工作以来，持续组织开展了一系列风险排查和整治工作，银行保险机构网络安全管理能力进一步提升。据上证报记者独家获悉，2019年，主要保险机构信息科技直接投入330多亿元，同比增长16.9%；信息科技正式人员总数2.4万人，同比增长13.8%。

不过，监管部门在检查中发现，仍然存在部分机构董事会、高管层对网络安全的重视程度不足，部分机构安全管理制度不健全、执行不严格，部分机构对重要业务数据的安全管理不到位，部分机构关键设备老化，部分机构对业务连续性管理重视程度不够，部分机构外包风险管理不到位等问题。

从监管评级评分情况来看，各保险机构之间的信息科技水平也参差不齐。2019年度，监管部门共对225家主要保险机构开展了信息科技评分，平均为77.66分，最高分90.66分，最低分48.36分。

业内人士透露，近日，监管部门就在保险业内部通报了地方监管局成功处置一起“非法入侵保险机构移动出单系统，为异地投保车辆逃缴车船税”案件。此案为保险业防范网络安全风险再次敲响了警钟。

在这起案件中，某保险公司基层机构移动出单网络系统遭受非法入侵，不法分子窃取公司员工用户名和密码登录系统，冒充保险从业人员，通过QQ及微信与车主联系，承诺只需缴纳少量费用，便可减免车船使用税，个别消费者因贪图便宜而被不法分子利用。不法分子意图通过为异地号牌车辆投保交强险，录入虚假车船税完税信息，以逃避缴纳车船税。因发现较早，该入侵行为被及时制止。

对于背后成因，监管部门在通报中分析称，主要有三点：一是防范系统入侵技术滞后，部分保险机构网络系统尤其是终端业务系统安全设置不高，在应对网络恶意入侵或攻击时，无法实现有效识别和拦截；二是网络安全内控管理薄弱，部分保险机构网络安全风险意识不强，内部管控不严格，未及时清理无效用户，未定期开展自查整改，应急处置机制未有效发挥作用，网络安全防范技能有待进一步提高；三是消费者缺少法制观念和风险防范意识，部分消费者存在“少缴费，少花钱”的比价心态，以及被发现几率较小、违法逃税程度不严重等侥幸心理，易被不法分子诱导。

基于此，监管部门喊话各保险机构：面对严峻复杂的外部环境，保险机构应进一步强化主体责任，加强预防研判，提高风险甄别和防范能力。同时提出六点要求：完善信息科技治理等层设计，强化网络安全管理，加大数据安全管控力度，加强基础运维安全保障，提升业务连续性管理能力，重视外包风险防控。

具体来看，首先，各保险机构应建立应急处置机制，增强主动防御能力，包括健全网络安全应急处置机制、增强网络安全主动防御能力、提高安全设备迭代升级频率。其次，提升风险甄别能力，加强安全风险排查。同时，应加大网络安全投入，强化普法宣传教育。

“监管鼓励有条件的保险公司探索利用云计算、大数据及人工智能等高新技术资源，在互信共治的前提下，建设保险网络安全整体防御机制。此外，也应强化消费者权益保护和普法宣传教育，提醒广大消费者通过正规途径办理保险业务，提高客户对金融法律知识的了解，增强守法意识。”一家保险公司相关负责人说。