来源:南方日报
| |
日前在深圳召开的关于“银行业信息科技风险管理”的全国性会议中披露,银行网站被攻击的次数正在逐年递增,2009年已有上千次记录。而根据中国反钓鱼网站联盟统计,打着银行旗号的钓鱼网站是被举报的重灾区之一。中国银监会副主席郭利根要求,各银行业金融机构要将信息科技规划纳入总体发展战略,要将信息科技风险纳入全面风险管理。对此,与会专家建议加强网银预警机制。
从“算盘时代”过渡到“键盘时代”,银行业务处理规模呈现出级数增长,但是银行的风险防控建设在追逐业务发展的速度上,始终颇为艰难。中国银行业协会第一副秘书长周永发表示,“如何进行科技创新和引进国际先进经验等,已成为银行业金融机构和监管部门必须面对的重要课题”。
银行网站频频“被钓鱼”
页面和正版网站一模一样,功能区、小广告都没有什么不妥,唯一不同的是网站地址栏里面,在正版工商银行网站后面多了一个“.bk-bj.com”,一个新钓鱼网站就产生了。
这是不久前被发现的一个工商银行的钓鱼网站。为了诱骗网民进入该“山寨银行”,不法分子通过黑客工具向网友群发邮件,并以“发现您的工商银行账号有异常活动”为名,要求“尽快完成这次网银用户身份确认”,以此来骗取用户的网银账号和密码。目前,该网站已经无法登录,360网盾等软件也将其列为“恶意网址”,予以拦截。
模仿网站的成本并不大,但削弱了消费者对网银系统的信心,影响却极其恶劣。除了工商银行,农业银行、建设银行等都有被“钓鱼”的经历。据中国反钓鱼网站联盟消息,截至今年7月底,该联盟累计收到19817个钓鱼网站举报,是去年全年举报量的一倍多。其中打着淘宝网、银行旗号的钓鱼网站举报量位列前三位,占九成以上。
如果说“被钓鱼”是银行只能事后应对的风险,那么进行网络升级、改版,则应是银行主动出击的方式。不少银行大堂可以看见这样的通知,“由于网站升级需要,某银行将在某月某日某时停止相关业务,请谅解”。
“升级能解决一部分问题,但是过不了多久,新的风险也随之而至。再说,这个方法要付出很大的成本,也不能经常用。”一名银行界人士颇为无奈地表示。
金融创新带来技术难题
网上支付、网上转账、网上购买和赎回基金,这些银行功能方便快捷,每天都有大量人在使用。在熟练使用并养成习惯之后,用户对其中风险的理解也慢慢知道了。但是来自银监会信息中心、公安部的人士在“中国银行业信息科技风险管理年会”中的披露,可以让人再次警醒:银行网站被攻击的次数正在逐年递增,2009年已有上千次记录,网上自动转账、网银盗用等风险偶有发生。
金融行业的任何一个创新,都离不开信息技术。周永发回顾了改革开放30年以来,中国银行业在电子信息技术方面的发展历程,用“难度量、易扩散、影响大”9个字比较了银行业信息科技风险和其他行业风险的不同。
风险难度量,是指一般风险可用特定方法度量,如经营风险可用经营杠杆系数衡量,财务风险可用财务杠杆系数度量,但因为信息科技风险的不确定性更强,目前还缺乏好的评价指标和评级体系。
风险易扩散,是指现代信息技术的发展,银行不可能只通过内部网开展业务,而必须借助互联网。这种内外网互使,银行在享受便捷信息服务的同时,也会使银行受到黑客的攻击或因操作失误波及整个经营网络,导致损失迅速蔓延放大,从而影响银行形象和声誉。
影响大,是指银行一旦发生重大信息科技风险事件,比如系统瘫痪,则很可能导致全社会交易秩序的错乱,损害消费者利益。
周永发表示,“如何进行科技创新和引进国际先进经验等,已成为银行业金融机构和监管部门必须面对的重要课题”。他指出,银行业金融机构下一步应继续大力推进信息科技风险管控、信息化建设、软硬件及核心技术发展等重点工作。
深圳相继进行银行服务创新
在网银安全这个突出问题上,与会专家建议,由于网银作案手法更加隐蔽,各商业银行在提醒个人用户保护好自己的账号和密码的同时,也应建立完善的网银安全防范机制。建议各商业银行制定网络银行安全预警、查询、追踪等技术标准,启用网络银行资金活动异常检测技术措施,在网络银行系统中根据用户登录异常情况,对网络盗窃行为实时预警;在打击网银犯罪方面,银行应开发资金流向追踪以及定位技术,与公安部门建立直接的快速联动机制。
在深圳,各银行依托科技手段进行的业务和产品创新层出不穷,集团现金管理、供应链金融平台、网上融资平台等大批金融产品与服务创新相继在深圳诞生。深圳银监局局长熊良俊称,目前,深圳银行业已逐步实现日常业务的后台集中处理,对高风险业务实现前、中、后台的全流程化管理。下一步,深圳银行业的信息化建设和IT风险管理将从支持银行业战略转型和业务创新发展的角度出发,优化系统业务流程,通过建立全新的信息系统运行模式,促进深圳银行业的信息化建设和IT风险管理水平提高。
上网从搜狗开始
