【IT168 专稿】3月21日上午9点半,交通银行的客户遭遇噩梦。由于交通银行总行的数据中心网络出现故障,包括北京、上海、广州等城市在内的各营业网点和网上交易业务被迫中断4小时。来银行办理业务的人们为不能及时办理业务而焦虑,更让他们担心的是,这次故障会不会导致他们帐户资金的差错或损失。
一时间,如何用技术手段控制金融风险的话题再度成为人们关注的焦点。
金融风险来自三方
因技术问题引发的金融风险问题由来已久,而且在各个国家普遍存在。
2003年1月,美国银行(Bank of America)13000台ATM机因病毒瞬间宕机,该行客户无法通过ATM完成存取款交易;
2004年10月,三井住友银行伦敦分行电脑系统遭到位于以色列及其他城市黑客入侵,约2亿2000万英镑存款被试图转往全球10个帐户;
2005年2月,美国银行备用客户信息磁盘在空运过程中失窃,约120万客户信息泄露,丢失的信息包括社保号码和私人帐户信息,全部是电子银行诈骗的必备资料……
金融业信息科技事故表明,如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2-3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。中国银行业监督管理委员会业务创新监管协作部副主任王岩岫的论断虽危言耸听,却是实情。
对于跨国经营的金融机构来说,各式各样的金融风险中,有三类表现最为突出。
①循规的风险。跨国经营的金融机构首先要面对全世界各个国家和地区的不同法律规章。在全世界拥有10000多名雇员、在60个国家设有分支机构的荷兰银行把这类风险排在首位,其首席运营官Lene Northwood深知,如果一旦触碰到法规界限,银行只能自己收拾残局。
②金融欺诈风险。来自金融内部的票据、金融凭证诈骗,以及来自外部的信用卡、保险、信贷诈骗等,都不同程度地令金融业不寒而栗。十年前香港一家拥有10亿美元资产的投资银行,由于不了解客户,对新客户没有尽责调查,遭到6个月就内爆的厄运。
③新概念风险。用技术手段反黑客攻击以及反洗钱等,都是新近出现、而金融业比较难处理的普遍问题。
三种思路将风险降到最低
3月15日,在第二届金融科技论坛上,来自中国银监会、国内国际各大商业银行的专业人士,对金融业风险管理的话题进行了深入探讨,并提出一些利用IT手段降低金融业风险的思路方法。
①管理模型应对循规风险。国家开发银行营运中心高级营运经理许成军提出ITB四面体模型,力图破解银行信息化发展与风险管理的难题。
ITB四面体是针对银行信息化发展而建构的模型。A、B、C、D四个面分别表示:系统开发建设、生产系统运行、管理体系和风险管理。四面体的体积值可以看成是IT发展的综合指数,四方面各有各的发展指标,相互促进又相互制约,四方面能够平衡发展就可以获得最大的指标值,并达到理想的信息化管理状态。量化指标则可以遵循一定的函数计算法得出。
如果金融机构能够从整体上把控信息化建设与风险管理之间的关系平衡,管理层针对具体的法规政策制定的发展策略,能由IT系统合理完善地支持运维,则可以很好地应对Lene Northwood最担心的循规风险。
②教计算机学会思考防范金融诈骗。人们能否做到在两个地方用同一张信用卡同时进行交易呢?某个用户的借记卡平均每星期只刷100元,忽然有一天刷去了一万元,这是否有些不太寻常呢?
这些问题摆在任何一个普通人面前,都会觉得其中必有蹊跷,但计算机无法思考其中的逻辑关系。如果单纯依赖计算机,这些问题必然会使银行措手不及,因此银行的IT部门要教计算机学会思考。
荷兰银行建设了两套系统,其中一套用来记录和分析不同类型的用户,记录他们的消费习惯、分析他们与银行相关活动的轨迹。另一套系统则用来追踪信用卡的不寻常交易,一旦发现偶然事件,系统会发出警报信息,特定工作人员就会立即给信用卡持有者打电话,询问用户是否确实进行过交易,以防备诈骗案件发生。
③网络接入和网络访问控制——在门口阻住黑客。交通局对上路的车辆通过交规进行管理,而对于安全管理要求格外严格的银行,在网络接入控制方面竟然是一片空白。
就像车辆上路前,交通管理部门要对驾驶者、车辆进行全面检查考核一样,银行的IT系统更需要对网络接入和网络访问进行技术控制。
Juniper公司系统工程师李世朋认为,外来系统在接入银行网络系统前,银行系统一定要采取身份认证、终端检查、主动隔离修复等措施进行第一轮“盘查”,在外来系统已经接入银行网络系统时,银行网络更要维持对终端的持续检查,一旦发现违规立刻切断网络连接,并进行隔离修复。Juniper公司和其他一些服务提供商已经提供了相对完备的解决方案,银行所需要做的就是继续完善“IT岗哨”,将黑客阻挡在银行大门之外。
对于信息科技风险,中国银监会也确立了明确的监管思路:“管法人、管风险、管内控、提高透明度”的理念贯穿始终。而且近一阶段,银监会进一步加强了信息科技风险的监管工作,陆续实施了一系列政策和措施,发布了《信息系统风险管理指引》,部署信息科技风险领域内部和外部的评价审计;引进并实施了信息科技风险自我评估系统(SCSA 系统);组织了多次信息科技风险专项培训;对照国际准则对国内信息科技风险监管制度法规进行差距性分析……
将风险降到最低,保障企业和个人的交易安全,金融业的斗争才刚刚开始。
