金融行业的安全,是用户注目的焦点
从IT技术到管理机制的建设,我国银行构建反欺诈的城堡还有很长一段路要走。
2007年2月23日,两年前因巨资诈骗的“金融硕鼠”,前中国银行哈尔滨松和街支行行长高山悄声从公众视线中消失后,如今因在加拿大一场车祸暴露身份而被拘捕,目前加方拟将其遣送回中国。这一曾轰动全国的金融案件如今又摆在公众面前。
近年来,随着国内外银行业欺诈案件的频频发生,银行为其付出高昂的经济代价。2004年,美国花旗银行为防止内外部欺诈行为,警告其用户不要相信一封自称来自银行的欺骗邮件,该邮件要求花旗银行客户去一个假冒网站验证银行帐号是否被篡改;2005年,巴西银行和金融机构因网络诈骗付出直接经济损失金额高达3亿雷亚尔(约合1.3亿美元),比2004年增加20%;2006年9月以来,瑞典最大的银行北欧金融集团多次被一犯罪团伙通过互联网进行诈骗,诈骗金额高达800万瑞典克朗(1美元约合7.1瑞典克朗)。
随着2006年我国银行业全面开放,国内监管与国际监管接轨以及新法规的实施,国内商业银行面临日益严苛的监管压力。特别是《巴塞尔新资本协议》实施以来,在风险管理中,除了包含信用风险和市场风险外,操作风险被纳入其中,欺诈风险属于操作风险的范畴,越渐受到重视。
欺诈的“高墙”
在我国金融行业的全面开放第一年,对于如何对国内银行进行激励与约束,还处于探索阶段,“在转轨时期,我们不容易找到一种明确的激励机制,它既包括经营目标又包括约束机制”,中国人民银行行长周小川曾公开表示。“现在我们找到了最综合、最有效的激励机制就是巴塞尔新协议,既满足金管部门监管目标,又涵括银行自身经营目标和约束机制”。
根据2004年6月,巴塞尔银行监督管理委员会(BIS)颁布的《巴塞尔新资本协议》的定义,操作风险是指由于不完善或失灵的内部程序、人员、系统或外部事件导致的风险,同时,该委员会将操作风险分为7大类,其中包括内部欺诈;外部欺诈;雇佣合同以及工作状况带来的风险事件;客户、产品以及商业行为引起的风险事件;有形资产的损失;经营中断和系统出错;涉及执行交割以及交易过程管理的风险事件。
IBM在今年3月7日发布的《银行业全面提升操作风险管理水平》白皮书中指出,在各种类型的操作风险中,对国内银行业影响最为重大、破坏力最为深远的首先是内部欺诈,其次是外部欺诈。
根据有关定义,又将那些有机构内部人员参与的诈骗、盗用资产、违反法律以及公司的规章制度的行为成为内部欺诈。这包括内部人员虚报头寸、内部人员偷盗和在职员的账户上进行内部交易等等,两年前的黑龙江“高山事件”便是典型的内部欺诈事件。
而外部欺诈是指第三方的诈骗、盗用资产、违犯法律的行为,比如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。通过网络系统进行欺诈的行为也随着银行信息化的推进而开始凸现。比如涉及通过IT系统欺诈的网络系统安全,在银行经过数据大集中后,开始正式步入业务持续管理阶段,为了保持业务的持续性需进行信息系统安全防范。目前,金融业的安全风险架构普遍存在这样的现象:通过内外网隔离的形式,从物理上解决安全隐患。但这其中仍然存在很多问题。
在一次安全风险论坛会议上,中国银行MIS中心的高级工程师王庆用了个很形象的比喻,“目前金融业构建安全体系的普遍心态,银行用内外网隔离的方式把自己围成一座城堡,但高墙其实很脆弱。内外网的物理隔离事实上是对安全问题的一种间接回避。”
据王庆介绍,日常银行业的安全隐患主要来自内部系统权限的篡改,这也是直接导致内部欺诈的由头。中国银行目前也采用了安全系统平台通过权限控制等手段进行安全维护。
而在对安全维护的人员配置上,几乎每个银行都有专员对电脑软硬件进行维护。中国银行监督管理委员会信息中心设备管理处处长陈文雄告诉记者,该委员会目前有2000多台终端电脑,日常的安全维护通常通过杀毒和安装防火墙的方式防范病毒入侵及黑客攻击。
安全卫士
尽管IT信息技术在银行反欺诈中扮演着安全卫士的角色,但单凭IT手段仍然不能抵御多方面的欺诈行为。
在IBM发布《银行业全面提升操作风险管理水平》白皮书当天,该公司大中华区金融服务事业部战略发展总经理黎江更是提出,许多欺诈的技术高手在银行现行构建的IT系统渠道中畅行无阻,于是,他提出“难道IT是在修路,让欺诈行为畅通无阻?”
目前,国内的欺诈行为包括假身份开户、钓鱼网站以及通过高科技手段进行欺诈。对于钓鱼网站等,2006年底,全球最大的第三方认证机构Verisign联合微软,进行IE7.0的合作项目,在该浏览器中内置反钓鱼功能。即基于SSL服务器证书技术,通过IE7.0地址栏颜色变化,帮助上网者识别钓鱼网站和非安全站点。
从微软公布的测试版来看,上网者将从地址栏中通过颜色识别网站身份。红色的为钓鱼网站,绿色的是受信站点,而黄色的是可疑网站。用户登录网银时,可以通过这种功能来识别是否是假冒的银行网站。
另外,针对各种欺诈手段,IBM提出要构建银行欺诈风险管理框架,并推出银行欺诈风险管理解决方案,具体包括风险战略、组织架构和管理流程。风险战略是欺诈风险管理业务体制和运作机制涉及的基础;组织架构确立相应的组织管理模式,明确相关部门、人员、关键岗位分工和职责;管理流程则是一个完整的欺诈风险管理过程。同时,通过监测模块、分析模块和案件管理模块构建统一的欺诈风险管理平台。
在国内开设一个账户只需要提供身份证就能办理,开户者信息的真假,住址变更后如何跟踪等无法确切掌握。而如果在澳大利亚开户,需要出具身份证、护照、水电费账单、其他银行办理的信用卡等组合式证件资料。因此,在IBM的黎江看来,构建银行反欺诈体系,不仅仅是IT系统的搭建与维护,同时也是相关配套机制以及管理实施体制的完善。
近年来,我国也日益重视风险防范管理体制的建设。因虚假申领银行卡进行商户POS套现行为引发的欺诈风险事件频频发生,中国银监会近日专门发出通知,提醒商业银行要加强银行卡发卡业务风险管理,并明确规定,商业银行在开展银行卡发卡业务时应执行严格的资信审批程序。
部分商业银行从内部反欺诈管理方面也不断进行完善。2006年年底,中国民生银行信用卡中心对新型欺诈交易风险的快速识别与控管;交通银行等银行金融机构专门设置欺诈风险管理员一职……在IBM相关的研究报告中指出,目前,国内防欺诈风险仍处于初级阶段,通过整合管理平台,规避欺诈风险,期盼“高山事件”的不再,这是银行迫在眉睫的事,也是银行用户的福音。
银行欺诈风险管理架构图 | 
