浅议电子银行安全风险 中国工商银行电子银行中心 崔颖 摘要:电子银行业务从上世纪后期问世后发展迅猛,为商业银行带来了新的交易渠道、新的业务领域、新的业务发展机会和新的经营硕果。银行业务都会有风险,电子银行业务也不例外。研究、应对和有效进行电子银行业务风险管理正日益成为商业银行必须面对的挑战和课题。本文主要对电子银行业务风险中的安全风险进行了较为具体的探讨和阐述。 关键词:电子银行、 安全风险 一、电子银行业务风险概述 电子银行业务风险是指商业银行因开办电子银行业务,或开办的电子银行业务在经营和运营过程中由于主观或客观因素诱发的,可能给银行带来资金、业务、声誉和法律损害的事件。 电子银行业务发展的历程就是不断防范、抵御和化解风险的过程。一般来说,电子银行业务的主要风险是安全风险、操作风险、法律风险和声誉风险等四类风险。 1.安全风险 安全风险是指因商业银行电子银行业务安全体系的缺陷,或受到攻击可能引发的风险。 电子银行业务计算机系统的故障、黑客攻击造成的服务中断、数据外泄、应用系统差错、客户认证和数字签名被破译等引发的风险均属于安全风险。 电子银行业务的安全不但涉及计算机技术、网络技术和银行业务,还涉及银行内部和外部环境等诸多因素,因此需要进行整体性体系化的设计与规划,以形成有效的安全防范体系。 电子银行业务的安全体系主要包括以下六方面内容: (1)依据商业银行发展电子银行业务的风险偏好制订的安全方针、策略、措施、实施方案和工作流程及工作机制; (2)电子银行业务计算机系统的安全机制,包括机房与计算机系统、网络、应用系统、数据、攻击检测与防范等; (3)客户认证机制,包括客户信息管理与认证策略,密码、证书与数字签名等认证产品和技术的选择与运用等; (4)数据信息安全机制,包括数据信息的存储和传输安全、重要数据的备份、数据访问和使用授权机制等; (5)重大和突发事件的应急处置机制; (6)对安全体系日常性的监测、报告和应对的工作流程和机制,周期性的评估、修正和优化的机制。 2.操作风险 操作风险是指在电子银行业务安全体系的框架下由于内部程序不完善、操作人员差错或舞弊以及外部欺诈事件可能引发的风险。 2005年下半年到2006年初在我国出现的不法分子通过假网站、假短信、假电话银行窃取客户银行卡卡号和密码,进而盗用客户帐户的资金就是典型的操作风险事件。 一般来说,除了操作差错和舞弊的因素,因银行柜员原因可能引发风险的情况还有:不进行风险提示或风险提示不当、违规代客办理电子银行注册、泄露客户私密性信息等。而外部事件主要是两类,一类是通过窃取客户资料盗取客户资金,除了假网站外,还有通过“木马”窃取客户资料和通过攻击第三方网站盗取客户资料等方式。另一类是由于市场因素使电子银行业务交易量爆发性增长可能造成系统阻塞引发的风险; 操作风险是电子银行营运过程中面对的主要风险,防范、化解和缓解操作风险是电子银行业务管理部门风险管理的主要工作内容。 3.法律风险 法律风险是指电子银行业务运营中遇到的法律纠纷可能引发的风险。 电子银行业务的法律风险主要体现在以下四个方面: 一是电子银行业务的发展先于法律的建设,由于缺乏相应明确的法律和法规依据,电子银行业务,包括通过电子银行办理的银行业务涉及的商业纠纷司法处理结果具有不确定性; 二是电子银行业务跨境服务,或客户的跨境使用涉及不同司法区域的司法管辖权问题和法律冲突问题; 三是商业银行发展电子银行业务涉及的法律文书可能存在的体系上或条款上缺陷等不完备的问题; 四是对犯罪团伙可能利用电子银行渠道洗钱的监控不力引起的法律问题。 4.声誉风险 声誉风险是指由于关于电子银行业务的负面的公众舆论和媒体言论可能引发的对银行声誉造成损害的风险。 电子银行业务的安全问题是舆论和媒体关注的焦点。计算机系统的技术故障、较长时间的服务中断、安全漏洞和重大安全事件、产品和服务的重大差错等都可能引起媒体的关注和较大范围的负面公众舆论。 对负面公众舆论和媒体言论要引起重视,及时进行相应的处置。银行的声誉受到损失,会影响社会公众对银行的信任,严重的会造成存款挤提,引起流动性风险。 二、商业银行防范安全风险的经验、教训 与传统银行技术风险不同,电子银行安全风险具有跨时空性、快速传递性、犯罪渠道多元化、责任难以区分等特点。基于电话、手机、计算机等开放网络构建的电子银行与电子银行所要求的保密性无疑是相矛盾的,而这些高度开放网络的安全机制正处于不断完善的过程当中,因此如何确保电子银行交易的安全性问题已经是电子银行的关键所在。 做好电子银行安全防范工作不仅仅是针对电子银行客户和银行而言的,提高电子银行的安全防范意识应该是提高所有的银行客户防范意识,提高整个社会的防范意识。 随着电子银行业务的发展,假网站、木马程序等事件层出不穷,事件发生后,经公安机关查证,相关一部分的案件是由于客户自身信息保管不当或电脑被黑客入侵造成帐户信息泄漏,给不法分子有机可乘。通过类似案件还发现部分客户对电子银行业务知之甚少,认为只要存折或卡在本人手中,资金就是安全的,造成部分客户直至数月后才发现帐户资金被转移,给了不法分子一而再,再而三的机会。类似案件的发生又使部分公众对电子银行业务产生恐慌心理,认为电子银行是危险的,是没有保障的,纷纷避而远之。 上述情况的产生是由于银行客户、社会公众对电子银行业务没有正确的认识,没有适当的安全防范意识所造成。所以加强电子银行业务教育,不仅是加强对电子银行客户的教育,而是对所有银行客户,甚至整个社会公众的教育。通过教育有利于社会公众正确了解电子银行业务,理性看待电子银行业务风险;有利于提升公众对电子银行业务的安全防范意识,使不法分子无机可乘,从而全面提升电子银行业务的风险防范系数。 (1)加强电子银行业务的教育。 业务教育的目的主要是让社会公众正确认识电子银行业务,消除公众对电子银行业务认识的空白点;规范使用电子银行业务,规避因操作失误而导致的风险。银行可通过座谈、问卷的方式掌握公众对电子银行的认识程度,采用现场演示、讲解等方式让公众了解电子银行业务基本常识;在客户申请电子银行产品的同时,向客户介绍电子银行产品的使用须知,注意事项等,指导客户正确的使用电子银行产产品。 (2)加强电子银行业务的安全教育。 安全教育的目的主要是让客户明确电子银行业务存在风险,但风险是可防可控的,引导客户理性看待电子银行业务风险。对客户的安全教育有利于提升客户的安全防范意识,从而有效的提高电子银行的整体风险防范能力。 安全教育的内容包括向客户提供有关电子银行的安全性信息,如如何运用杀毒软件、个人防火墙的设置;强调电子银行密码的重要性,指导客户如何正确保护密码、个人识别码以及其他银行/或个人数据等;引导客户使用银行提供的安全防范产品,进一步提高客户的安全防范能力。 (3)加强电子银行风险识别能力的教育。 由于社会公众对电子银行风险认识不足,给不法分子可乘之机,如不法分子通过短信、email、假网站等方式套取公众的银行信息,造成客户资金损失。所以风险识别教育目的是为了提升整个社会防范电子银行业务风险的能力。 银行可充分利用新闻媒体对电子银行安全风险进行宣传报道,向社会公众公开介绍犯罪分子利用电子银行盗取客户资金的各种手段,提高社会公众识别真伪、防范风险的能力。 三、商业银行防范安全风险的对策 1、加强基础设施建设。 首先商业银行应制定正确的电子银行技术风险管理策略,对建设电子银行的技术方案进行科学论证,确保信息技术安全可靠,电子银行系统设计严密、功能完善、运行稳定。其次应加大电子银行安全技术投入,提高通信网络带宽,建立灾难备份与恢复系统,增强电子银行抵御灾难和意外事故的能力。第三,应积极引进一些高效的安全产品和安全技术,如将指纹识别技术与银行卡结合起来,以指纹密码代替数字密码,提高客户取款的安全性,目前美国已经开始在ATM机上使用指纹识别系统。第四,应采取有效措施防范病毒和黑客的攻击,及时更新、升级防病毒软件和防火墙,提高计算机系统抵御外部网络攻击和抗病毒侵扰的能力,增强电子银行系统的保密性和完整性。 2、强化客户安全意识。 提高客户安全意识是防范电子银行风险的有效途径。首先,银行要加强对客户的安全教育,在客户办理银行卡时,重点介绍安全使用银行卡的知识,提醒客户及时更改原始密码,并在营业网点和自助服务设备上张贴风险防范告示,提示客户保管好各种相关凭证。其次,要充分利用新闻媒体对电子银行安全风险进行宣传报道,向公众介绍犯罪分子利用电子银行盗取客户资金的各种手段,提高客户识别真伪、防范风险的能力。 3、加强内部管理。 首先,商业银行要制订全面的电子银行业务规程和安全规范,并根据业务和技术发展情况及时修订完善,确保及时发现并处理系统运行中出现的各种问题。其次,要建立完善的内部控制机制,科学分配电子银行业务各环节的权限,构建电子银行业务流程与权限相互制约体系,加强对信息系统人员的监控;第三,要建立健全激励约束机制,加强思想政治工作,及时了解员工的思想动态,深入开展爱岗敬业活动,充分调动广大员工的积极性,降低内部违规事件出现的机率。 4、加强法制建设,加大对犯罪分子打击力度。 首先,应建立完善的电子银行法律体系。健全的法律体系是防范和化解电子银行风险的重要手段,虽然目前我国已出台了电子签名法,但还远没有形成体系,因此我国应加快立法进程,尽快构筑完善的电子银行法律体系,给电子银行的发展提供充分的法律保护。其次,应加大对金融犯罪的打击力度。我国公安部门要适应形势变化的需要,提高对高科技犯罪的侦破能力,同时电信、金融行业要主动提供相关的信息资料,积极配合公安部门侦破犯罪案件,采取各种有效措施,加大对电子银行盗窃案件的查处力度,从严从重打击犯罪分子。 [参考文献] [1] 张卓其《电子银行》,北京:高等教育出版社,2001 [2] 古华庆《网上银行风险监管管理与实务》,北京:中国金融出版社,2003 [3] 张衢《商业银行电子银行业务》,北京:中国金融出版社,2007 [4] 谢康、肖静华《网络银行》,长春:长春出版社,2001 |