【IT168 信息化】只是一个内部小小IT系统存取控制的疏失,就让法国兴业银行付出了72亿美元的天价。CIO应该对此案例有所警惕,对于企业关键性的IT系统安全,包括员工存取控制等项目,最好要再仔细地重新检视一次,是不是自己也有犯下类似的错误。
程序失误加上系统失效是个致命的结合,也是CIO的梦魇:一个针对不肖交易员的调查指出,Jerome Kerviel在法国兴业银行(Societe Generale)弊案中被指控的诈欺行为,揭露了金融界与IT内部管控的明显缺失,而那正是由一位具备IT技术,而且是经过授权而存取系统的内部员工所为。
Kerviel的弱点程序攻击(exploit)导致法国其中一个最大的银行损失了72亿美元,当法国警方对这位31岁交易员的交易活动进行深入调查时,持续地揭露出更多缺失。4月18日法国兴业银行任命其前财务长Frederic Oudea为新任CEO,以替换Daniel Bouton (但他仍保有董事长一职)。外界亦盛传此公司将被接管。
同时,IT专家表示,此案例对于企业在管理IT相关风险上,应该能够发挥警示作用。
“我们花了非常多的时间在防范来自外部的威胁。”BearingPoint管理技术顾问公司总经理暨全球风险、法规与安全之解决方案领导人J.R. Reagan表示:“但是,就企业而言,更大的风险威胁是来自内部。”以法国兴业银行来说,不仅IT安全管控不足,银行员工也没有对当时所产生的红色警讯进行彻底地调查。据Ponemon机构最近的调查显示,“内部人员的威胁,为最显著的信息安全风险之一。”该机构于2月时发表针对700位IT从业人员的调查报告时发现,有78%的回复者表示,他们经常发现员工拥有太多与他们工作不相关的信息存取权限;与此同时,有59%认为这类的存取行为会引发企业风险。再者,IT人员发现营运主管往往忽视这些问题的严重性:74%的回复者表示,高阶管理部门并未将“对信息存取的管理”视为策略性议题。
许多企业经理人并不知道他们面临到的风险是什么,就算知道,他们也可能会在历经一段艰困的时期之后,才能在这潜在成本与获利之间取得一个平衡点,企业管理联合会(EMA, Enterprise Management Associates)安全专家暨研究主管Scott Crawford表示:“在善用良机与有效地实施IT风险管理之间,总是会有个微妙的平衡作法。”他指出:“企业风险在IT中所曝露的问题,对整个企业仍旧是一大挑战─尤其是对CIO而言。”
法国兴业银行的案例,提供了IT领导人在如何管理与存取相关的风险上许多教训。
攻击具风险之业务
法国兴业银行其中一项重要的营运项目是衍生性金融商品(derivatives):金融工具让交易员得以在广泛的资产组合范围下(像是股票、债券或商品等)建立起复杂的买卖合约,并且在交易中试图为某一方降低或规避金融风险。然而,操作衍生金融商品的交易员需要带一些“攻击性”,而那往往可能会招至更大的风险——之前一位衍生性金融商品交易员Nick Leeson就因其未受经授权的投机交易,导致英国Barings Bank于1995年突然倒闭。
这家法国银行并非是最近唯一遭逢内部员工危险行为的公司。抵押贷款债券承销商Bear Stearns就因为它在次级抵押贷款投资失利而濒临破产,最后在2008年3月时被J.P. Morgan Chase以每股两美元的价格收购,而当时委托人对于该公司能否偿还其借贷已完成失去信心。而在2月时,Credit Suisse提出一个出人意表的报告,其资产账面价值突然降低了28亿美元,该公司CEO Brady Dougan将原因归咎于“任职于公司某些职务的一小部分交易员,在信用业务中出现错误标记与标价失误”。Credit Suisse最近被任命为全球债权抵押证券首长的Kareem Serageldin,也是在内部错误检视后被停职的一员。
Dougan向分析师能提出让他们安心的保证,甚至宣布“我们真的觉得已经将我们的风险管理得非常好了。”但是,公司仍旧需要“持续地专注在改善它的风险管理实践与程序”。
据BearingPoint公司的Reagan观察,由于法国兴业银行的交易员需要处理大量、高额,而且节奏快速的股票交易,可能会让业务主管因此“无法忍受”任何安全措施,因为那会减缓他们的作业效率。例如,法国兴业银行使用单一因素认证(以单一办法,像是密码,以准予存取系统),而非双因素认证(要求个人必须使用两种鉴别自己的办法,以获准存取)。
“负责的安全团队必须要事先考虑到公司可能会遇上的各项风险,以及在没有适当安全配套机制的状况下,因诈欺交易导致损失数十亿的可能性。”Reagan表示:“但是,该银行大部分的安全人员都还没有能力可与营运端进行协调互动,以应付公司可能的实际业务状况。”
那样很可能会招致巨大的破坏,后果就像我们在法国兴业银行事件中所看到的那样。“以法国兴业银行为例,由于IT控管不当,使得公司直接承受巨大的业务风险。”Crawford表示:“Kerviel以他对交易平台运作的了解,以及所具备的IT专业知识与专业,巧妙地运用IT控制了银行的营运系统。”
在1月18~20日之间,银行发现Kerviel已经建立了几个交易部位,他认为证券应该会波动到某一特定区块价格,这会使得这些交易部位的价值跟着水涨船高,甚至超过整个银行的资本额。但是他下错赌注了,接下来的3天他被迫断头,当那些股票抛售时,银行损失了高达72亿美元。
作为一个套利交易员,Kerviel应该都是成对地进行买卖,买进、卖出相似的标的物,利用价差来进行短期的套利。不过这些交易所能获取的利润,和他有时候秘密进行伪造单向交易比起来,根本不具吸引力。
在法国兴业银行初步的内部调查中提到,调查委员会发现Kerviel过去曾经在银行的IT部门工作,因此对它们的系统与程序皆有高度的了解。工作人员大多是遵循那些程序步骤执行业务,但是在1月18日之前,系统程序本身并无足够能力去鉴别哪些是欺骗的行为,除了Kerviel本身所做的一些行为可避免被人察觉外,当红色警报出现时,工作人员也没有组织或系统化地深入调查发生的原因。
在银行针对Kerviel过去用来隐藏其行动的种种招数进行调查,发现漏洞不外出自下列两点:一是,被用来合理化不明交易的假e-mail讯息;其次,向同事借来的登录系统凭证,以他们的名义去处理交易。Kerviel于2007年4月开始这样的诈骗行为,而调查委员至少鉴定出7个时间点,其中4个涉及了未曾存在过的交易。当他们发现Kerviel在银行e-mail档案系统中接收应有的讯息,但却没有任何纪录时,这项诡计就被拆穿了。
2006年7~9月期间,据总检查部门报告,当Kerviel交易的数值超过了允许标准时,内部控制系统产生了24个警报。但当时,银行内的风险监控单位却将那些异常状况误认为仅是一般周期性的问题,只是请Kerviel的主管进行确认,并要求他不要再超过限制而已。
专门委员会对此提出一些改善建议,包括建置更有力的生物辨识系统,以预防交易员存取他人的账户,以及改进警报的程序,让警报能够通知到相关的经理。除此之外,委员会也建议,必须更加小心地实施交易管控,被删除或变更的交易皆不能被隐藏;此两者都是过去Kerviel过去常用来掩饰违法交易的把戏。
专门委员会表示,稽核人员仍在找寻其它可疑的交易,以确认所有不轨行为都已经曝光,而调查人员还必须再检视Kerviel的实时通讯服务使用,以做为指控其进行不法行为的证据。该委员会已于5月27日于年度总会议中,向股东们提出对于此件事件的最后报告。同时,在4月1日由Morgan Stanley所赞助的研讨会中,Oudea表示,法国兴业银行已经加强了IT安全与信息系统之存取功能,以及改善操作上各项管控措施。
或许,Kerviel明显的诈欺行为与法国兴业银行对于此事件的盲目无知,会有一些正面的效应:这个事件将鞭策其它公司的高级主管们,在高层经营会议中讨论风险管理与IT管控。一般公司会倾向于把存取权利视为一种零和游戏:不是能全部存取,不然就是无法存取,伦敦大学信息与通讯法规教授Ian Walden表示,实际上,还有很多的存取标准。“在那些新颖、复杂的系统中,对于权限控制的规范必须要更为精密。”Walden表示,为了更精确地进行系统存取控制,IT部门必须对企业营运如何运作与哪里可能存在风险,要有更彻底地了解。此外,IT部门与营运经理还必须找到方法,将安全机制囊括至业务程序中,如此,两者之间才不会有障碍。
在Ponemon机构的研究中,仅有30%的回复者表示,他们的组织确定使用者的存取方式都是正当且经检查无误的,而对于系统存取的管理都是有专人负责。而29%的回复者表示,营运单位对此应需负较多的责任,接着则是负责应用程序或系统者、企业IT、人力资源部门、信息安全,以及法规依循组织等。
企业管理联合会(EMA)的研究主管Crawford表示,透过一些基本的提问,企业能够在存取风险上掌握的更好,包括:
1. 哪一种异常行为将指出,你暴露的风险可能比你所了解的还多,还有你是否可以察觉或是辨识出它们?
2. 高级或高风险职员是否拥有无限制的特权,可以在个人职责之间进行检查与抵销,使之无效?而用来确保这样的职责切割能被执行的管控方式,其作用有多大?
3. 你的控制系统或风险指针是否容易遭受破坏?有没有方法是你可以用来执行更有效的管控,而且仍然可以被沿用到新的商务模式中?
“企业才刚开始意识到IT环境的管控。”Crawford表示:“如果你正在将资产和战略下注到IT系统上时,企业必须确保那些管控机制的有效性,而且都能够适度地抵抗一些来自内外部的破坏行为。”
管理IT风险的诀窍
1. 了解风险
Enterprise Management Associates(EMA)的安全专家暨研究主管Scott Crawford指出,IT管理不当可能会造成营运风险。知道那些风险为何,是管理它们的第一步。面对日益普遍的内部威胁,应该透过控制与身分识别管理系统的方式应付。
2. 将IT风险管理视为营运上的投资
Crawford表示,将IT风险与营运需求进行整合,能协助企业适切地分配资源给所必须管理的那些风险。
3. 定期重新评估风险
周期性地重新进行风险与管控评估,应该是所有企业IT管控策略中的一部份,而不是当问题发生时才实施。不过,假如你的管控失效的话,你应该再重新衡量你的风险管理策略,就像法国兴业银行所发生的情况那样。
4. 运用适当且值得信赖的管控机制
即便企业IT有了管控,假如方式错误或不足,在管理风险上,仍旧有很大的风险会遇上麻烦。Crawford建议,企业应部署适当的管控,并且只授权给适当的人存取系统,而后再进行监控与持续地重新评估。
5. 法规遵循不等同于安全
系统与数据的保护需求可能会督促你遵循法规,但是遵循法规却不必然能让你安全无虞。假如你的控制能够满足管理上的要求,但是却不能降低风险,那么它们仍是不能满足需求的。