关注银行业信息科技安全问题

评论
12 views

关注银行业信息科技安全问题

 

周易达 安业

 

随着计算机技术的发展,几乎所有的银行业务都以信息的方式通过计算机技术收集、加工、处理。信息以一种资产的方式存在于银行业中,早已成为银行业赖以生存、发展的基础,同时也是银行业资产风险的核心部位,信息资产风险会对银行产生全面、系统的影响,还会连带产生声誉风险和法律风险。特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行业金融机构稳健运行的又一重要隐患。但是,对信息科技安全的管理和监管尚未提到议事日程,监管人员也不具备对银行业信息技术风险监管和分析的基本能力,在银行业中存在着信息科技安全问题,主要表现在以下几方面:

一、队伍素质不适应

(一)领导重视不够

一是没有把信息纳入银行资产管理。把信息与银行资产割裂开来,宁愿把处理信息的银行机具当做资产,也决不把信息当做资产,而事实上,信息早已作为银行的重要资产存在。二是对信息科技安全认识不足。信息科技安全关系到银行资产安全,乃至国家安全,这是不争的事实,但许多银行业信息科技主管领导总认为信息科技安全离己太远,尽管信息科技引发了案件,也常常忽视其存在。三是董事会和高级管理层缺乏对信息科技的关注和统筹安排,对信息科技的风险了解不多,涉及IT运行、软件开发、软硬件维护和管理的职能分散在许多部门,分管领导分散,多头管辖,信息相互割裂,无序购置和外包的现象十分严重。

(二)缺乏思想准备

一是科技人员总认为系统安全可靠,天下太平,所有案件都是偶然发生,思想上有麻痹意识。二是非科技人员总认为与己无关,信息科技引发的案件是科技部门的事。三是结算方式发生了重大变化,如保山市银行业的结算已经从柜面结算向ATM结算、POS结算和网上结算转变,其结算笔数占比是26:28:1:45;其成交金额占比是83:4:5:8。但银行安防思想仍然停留在柜面范围,不能与时俱进。银行业的大多数职工缺乏防范信息科技风险的思想准备。

(三)缺乏防范能力

一是信息科技人员偏少。如保山市12家银行业金融机构,从业人员2495人中,信息科技人员只有29人,仅占总数的1.16%,仅靠信息科技人员来防范信息风险显然行不通。二是从业人员年龄偏大。由于国有银行业机构收缩、实行扁平化管理,农村信息社技术手段提高,各银行业金融机构从业人员显得过多,新进人员过少,形成年龄偏大局面。现有从业人员普遍缺乏防范信息风险的能力。

(四)缺乏教育培训

银行创新产品层出不穷,系统研发也永无止境,但是重建设、轻管理,重上档次、轻视风险,重眼前、轻长远的现象在许多银行业金融机构十分普遍。从业人员虽然不断学习新业务的操作,但绝大多数从业人员只学会了按流程操作,不知道操作可能引发的风险。在培训推广的各个环节,都不重视信息科技安全知识的教育培训。

二、防范措施不周密

(一)应急方案不全面

一是一些银行应急方案不全面、不细致,对现有的应急方案,没有演练过,未知其可操作性。二是农村信用联社,特别是基层信用社总体素质偏低,又缺乏资金和专业人才,虽然最近的电子化进程,尤其是卡结算业务实现了跨越式发展。但是,在电源管理、设备故障、科技服务、业务操作、病毒防范等方面没有应急方案。

(二)监控系统不完备

一是一些营业网点监控设备不足。不能全面记录柜台范围发生的影像,或者记录的影像不清晰,特别是农村信用社几乎没有建立视频监控系统。二是记录的影像没有专人检查。柜面影像,特别是ATM机上的影像,没有专人检查,只有在案件发生时,才调出来检查,所以一些ATM机设备被做了手脚,甚至摄像系统出了故障也没人及时发现。三是影像保存时间不够长。由于技术、成本限制,一般影像保存时间为一个月,这对一些案件侦破不利。

(三)内控制度不严谨

为了防范和控制信息系统风险,各银行业金融机构严格制定相关的规章制度和应急预案,积极完善内部组织结构和工作机制,通过明确目标和责任人的方式基本建立有效的信息系统风险管理架构。但是一些规章制度不能与时俱进,业务发展而制度不变,细节上存在着安全漏洞。如2005年保山市城市信用社与昆明市商业银行达成全面合作协议,建立了不同法人机构IT系统共享平台,是一项金融创新,但与之相适应的内控制度却创新不足,没有涉及到操作风险发生后的责任划分。

(四)机具管理不妥善

一是银行机具安全管理不善,存在较大的安全隐患。如:建行腾冲支行2006年就发生了一起POS机失踪事件,客户资金安全受到威胁;农行腾冲支行因ATM机运行不正常,造成一客户数千元损失,造成客户对银行机具的可靠性产生怀疑,造成不良影响。二是对银行机具使用中的安全宣传不到位,客户对应知、应会、应保密的事项不甚了解,资金被盗现象时有发生。

(五)监管队伍不适应

一是存在信息科技风险监管盲点,银监会虽然已经出台了《银行业金融机构信息系统风险管理指引》,但基层监管当局还没有提到议事日程。二是缺乏监管能力,在监管队伍中,还没有这方面的监管人才。

三、信息科技风险防范宣传不到位

一是多数职工不掌握信息科技安全的基本常识,因而谈不上防范信息科技风险。二是对客户防范信息科技风险知识宣传不到位,因而客户在使用信息科技手段办理业务时,如网络银行、电话银行、POS机和ATM机等等,时常发生失款、失密现象。

目前,我国银行业的IT建设正处于高速发展期,在设备规模和技术水平不断提高的同时,信息科技风险管理相对显得十分薄弱。通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力,从而达到信息系统风险管理的目标。

 

资料链接:信息科技风险案例及评述

(一)案例

1.            20031月,美国银行(Bank of America)13000ATM机因病毒瞬间宕机,该行客户无法通过ATM完成存取款交易。

2.           200512月,日本瑞穗证券公司(Mizuho Securities)误将客户的“以61万日元卖出1J-COM公司股票”指令输入为“以每股1日元卖出61万股”,东京股票交易所(Tokyo Stock Exchange)电脑系统对该公司取消下单的指令不能给予回应,随后瑞穗的错单全部成交,引发了投资者抛售股票,使日经指数重挫超过300点,瑞穗证券损失超过400亿日元。

3.           2006 年日本最大的美资银行花旗银行(Citibank Japan)出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划,或交易后未作月结记录,造成该行在日本的重大声誉损失。近年来,国内部分商业银行和分支机构也相继出现过系统宕机和网络瘫痪。

4.            20064月,银联全国跨行交易系统瘫痪6小时,国内大部分商户的POS机无法刷卡,所有银行的ATM终端无法进行跨行操作,以日均量估算,“停刷”阻断交易量246.6万笔,金额1287.7亿元,造成了重大的社会影响,实际损失和由此造成的声誉损失令人痛心。

5.             200685,工行玉溪市分行自助银行值班人员接到客户投诉电话,称在2510018ATM(牡丹支行自助银行内)上取款下账不吐钞。该客户反映ATM上发现虚假告示并已按照犯罪份子要求转账6400元,值班人员要求客户先向110报案。当自助银行值班人员和110工作人员赶到25170018ATM时,发现ATM上粘贴有犯罪份子的告示,出钞口被加装了塑料挡板。

2007119工行保山市分行同样发生以上类似的情况,但没有造成客户资金损失。

6.            龙陵一客户,经常把卡与密码交给到县城的朋友,请其随便在ATM机上帮取些钱回来,几个月后发现卡上的钱少了许多,教训惨痛。银行有宣传不到位的责任。

(二)评述

目前,各类犯罪分子的手法千奇百怪,利用银行卡诈骗犯罪,根本目的就在于窃取资金,焦点集中于ATM机上。除了传统的偷看密码、直接套问持卡人密码等手段外,还有安装假门禁系统盗录信息,利用摄像机偷录信息,甚至安装虚假键盘等新奇手段。为防范ATM诈骗,银行应强化ATM机具的日常管理,加强ATM的现场巡查和远程监控,有效遏止大部分自助机器设备犯罪,保护持卡人的利益。一是加强ATM摄像和系统监控。应定期检查监控记录,发现问题必须及时处理,为持卡人交易提供相对安全的环境。二是定期巡查银行机具,特别是ATM机,对入卡口、出钞口等部位进行重点检查。三是提供24小时挂失服务,持卡人被ATM机吞卡时,应立即对账户进行冻结。四是加强对持卡人的信息风险防范教育。五是通过技术手段对ATM机入卡口进行改造,防范不法分子安装截卡装置。

作为持卡人,也要提高安全用卡的意识,学习基本的用卡常识,提防ATM机场所周围的可疑情况。对ATM机上张贴的各类通知、ATM机的改动、ATM机旁边人员的窥视、卡被吞吃等情况,请提高警惕。如果不放心,请直接拨打银行的客户服务热线,或者到银行柜台询问,不能拨打张贴通知上面所留的电话。