网络攻击是移动互联网时代商业银行面临的外部风险之一,在商业银行内部控制以及合规风险管理中应当受到高度重视。2018年10月1日,英国金融行为管理局(Financial Conduct Authority)对英国最大超市乐购集团(Tesco PLC)全资控股的乐购银行(Tesco Bank)处以罚款1640万英镑,折合人民币1.48亿元。罚款是针对该银行在2016年11月发生的网络攻击事件中未能够勤勉、尽职保护客户免受可预见的损失而施加的处罚。当前,国际银行业面临的网络黑客攻击形势严峻,英国金融行为管理局对乐购银行处罚案例为全球商业银行的网络安全管理敲响了警钟。下面对该案例进行分析,并以案为鉴,提出对我国银行业网络风险管理的若干启示及对策建议。
乐购集团(Tesco)与沃尔玛、家乐福并称为全球三大零售商,乐购银行是乐购集团旗下的网络银行。乐购银行前身为乐购金融服务公司,是乐购集团与苏格兰皇家银行的合资公司。2008年12月19日,乐购集团收购了苏格兰皇家银行的股份,全资拥有乐购金融服务公司并更名为乐购银行。乐购银行可以为客户提供一系列的金融产品及服务,包括储蓄、现金、信用卡、抵押、贷款、保险和借记卡服务等。
在乐购银行成立之前,乐购集团和国民西敏寺银行(NatWest)联合提供被称为乐购俱乐部卡的储蓄卡,该卡与客户的储蓄账户相关联,客户能够通过该卡片进行购物和ATM取款。该卡在乐购银行成立之后成为乐购银行的产品。2010年,乐购银行决定给客户提供个人现金账户的借记卡,并以乐购集团存量客户为基础,通过忠诚度奖励计划将乐购俱乐部卡融合进来。截至2016年11月末,乐购银行员工总数约为4000人,拥有760万个客户账户,13.6万个现金账户。
2016年12月13日之前,乐购银行在发行借记卡时是从一批连续的5万个数字当中以随机的方式进行编码,直到该批数字用完才会使用下一批数字。这导致乐购银行借记卡出现了有依据的可被计算的按次序卡号,使网络攻击者容易推测出真实的借记卡卡号。在网络攻击发生后,乐购银行修改了这种卡号编码方式。
乐购银行使用授权系统和欺诈交易监测系统对交易进行监控,通过授权系统提供基础授权服务,通过欺诈交易监测系统进行反欺诈分析和监测。一旦出现欺诈交易,欺诈交易监测系统将下达指令阻止相关交易。但乐购银行的欺诈交易监测系统在身份验证上是针对现金账户而不是借记卡,缺乏双重验证功能,这导致即使该系统监测到网络攻击者发起欺诈交易,且银行已经对借记卡挂失,但网络攻击者仍然可以使用账户上的资金余额,只要该账户绑定了另外一张真实的借记卡。
2015年11月4日,维萨国际组织(VISA)向其成员(含乐购银行)发出银行欺诈交易的网络攻击风险警示,指出美国和巴西有犯罪分子通过网络攻击进行“PoS91”类型交易的欺诈活动。“PoS91”是一种行业代码,指顾客使用银行卡通过PoS机进行交易,PoS机终端根据与借记卡相关联的芯片非接触或者客户通过移动设备完成支付。收到警示信息后,乐购银行内设的金融犯罪控制团队立即停止了所有乐购银行信用卡的“PoS91”类型交易,但是对借记卡的该类型交易没有停止。2016年9月30日万事达国际组织(Master Card)也对其成员(含乐购银行)发出了“PoS91”类型交易欺诈警示邮件。邮件中提到,“PoS91”类型借记卡无接触式欺诈交易通常表现为,犯罪分子伪装成巴西卖家在美国小商品网站上进行低价值商品交易。乐购银行金融犯罪反欺诈战略团队收到了该邮件,但并没有采取进一步的措施。
2016年11月5日凌晨2:00,黑客对乐购银行账户发起网络攻击,利用乐购银行卡的编码缺陷,计算出真实的乐购银行借记卡卡号,再利用这些卡号生成虚拟银行卡进行数千笔未授权的借记卡交易。凌晨4:00,乐购银行的欺诈交易监测系统给账户持有人发送信息,提醒客户其账户发生可疑交易活动。账户持有人随即与乐购银行客户服务人员进行电话联系。乐购银行的金融犯罪控制团队这才了解到可疑交易活动的发生,但对于是否应将这些可疑交易活动判断为网络攻击,还需要进一步鉴别。
在网络攻击发生时,乐购银行的金融犯罪控制团队通过邮件试图联系金融犯罪反欺诈战略团队,而不是按照规定通过电话方式联系,这导致金融犯罪控制团队直到11月5日晚上23:00才与对方取得联系。金融犯罪反欺诈战略团队从2016年11月6日凌晨1:48开始编制指令试图阻止可疑交易,但指令的实施效果不明显,这是因为其错误地使用欧洲货币代码替代巴西国家代码。虽然金融犯罪反欺诈战略团队很快发现了错误,重新编制交易阻止指令,但是还是有一些“PoS91”类型交易避开了乐购银行的授权和欺诈交易监测系统的监测。
金融犯罪反欺诈战略团队随后寻求外部专家支援以解决问题。直到2016年11月7日00:59,外部专家才找到问题产生的原因,原来是在最初编制交易阻止指令时引入了错误的编码。11月7日03:35在线交易阻止指令才开始全面生效。11月8日,乐购银行开始恢复正常的银行客户活动,期间部分客户使用ATM机还需要进行身份验证。11月9日8:00,乐购银行撤销所有针对网络攻击的相关措施,全面恢复正常营业。
一是管理人员未及时采取适当措施阻止网络攻击。当未能与金融犯罪反欺诈战略团队取得联系时,乐购银行没有采取任何措施阻止攻击的发生,导致由网络攻击产生的欺诈交易不断进行,截至交易阻止指令发出时,已产生46000个欺诈交易,可见乐购银行未有尽到勤勉责任、保护客户免受网络攻击。
二是应对网络攻击时出现操作性失误。金融犯罪反欺诈战略团队编制指令以阻止源自于网络攻击形成的欺诈交易时,使用了错误的国家代码,使得阻止指令无法及时生效。此外,由于在编制阻止指令时引入错误的编码,致使部分欺诈交易避开监测,阻止指令未能全面生效,导致客户的权益持续受到损害。
三是信息系统设计存在严重缺陷。在第二次编制交易阻止指令时,在外部专家协助下发现,乐购银行的欺诈交易监测系统将监测对象设置为个人账户而不是借记卡,这意味与交易相关联的借记卡即使被盗或丢失,与该卡相关联的可疑交易也不会被欺诈交易监测系统所发觉。
一是客户资产受到较大损失。尽管乐购银行及时阻止了约80%的未授权欺诈交易,但仍有8261个账户受到影响,资金损失达到226万英镑。据事后统计,在网络攻击过程中,客户个人账户受到损失的程度并不相同:约7000位客户损失在500英镑以下;超过600位客户的个人账户损失500~1000英镑;超过600位客户损失1000~5000英镑;23位客户损失5000~10000英镑;损失最为严重的客户的账户发生22次欺诈交易,总计损失65000英镑。此外,由于欺诈交易的发生,乐购银行客户的账户出现余额扣除现象,导致668笔没有支付的交易直接计入客户的账户,乐购银行不得不花费约9000英镑用以支付全部受到攻击的客户账户因欺诈交易产生的利息和费用①。
二是客户体验受到较大的负面影响。部分客户在网络攻击发生后的数日内无法正常使用银行卡,给生活和工作带来了诸多不便。超过5000位客户的账户发生0元酒店预订的授权批准,而实际交易被店家或卖家撤销、并没有发生。部分客户在接到乐购银行发出的可疑交易监测短信后,试图通过电话联系银行客户服务中心,却无法从电话咨询中获得任何帮助。据统计,在11月6日当天,乐购银行的电话服务热线接到来自客户的3887个电话,但94.4%的电话由于等待时间太长而未有接听。
一是启动消费者补偿方案。在发生网络攻击之后,乐购银行立即启动消费者补偿方案以弥补客户的损失。乐购银行将因欺诈交易而拟计入客户账户的金额取消,同时立即退还相关客户账户费用及利息,并根据个案的情况补偿部分客户的直接损失和精神损失。
二是对内部控制问题进行反省并配合监管部门开展整改。在网络攻击发生后,乐购银行委托独立第三方对网络攻击事件进行审查。经外部专家证实,在网络攻击过程中没有发生个人数据泄漏,该结论得到英国金融行为管理局的认可。此外,乐购银行对网络攻击发生的原因与本行应对工作进行评估,完善了欺诈交易监测的流程及程序设计。
英国金融行为管理局认为,犯罪分子利用乐购银行借记卡设计缺陷和金融犯罪控制团队工作的疏忽开展网络攻击,在此过程中,乐购银行违反了《2000年金融服务与市场法》,违背了消费者保护、保护与加强金融市场完整性的两大要旨。此外,根据英国金融行为管理局发布的《决定程序和惩罚手册》(Decision Procedure and Penalties Manual)规定,商业银行必须以尽职、谨慎和勤勉的态度来开展业务,保护其客户免受金融犯罪的侵害。据此,英国金融行为管理局对乐购银行作出罚款的处罚。
英国金融行为管理局根据《决定程序和惩罚手册》,通过违法利益收缴、违法严重性评估、引入减轻和加重因素三个步骤,计算和决定罚单金额的适当水平。
第一步,违法利益收缴。监管当局首先要收缴金融机构从直接违反相关规定的行为中获得的收益。在该步骤的评估中,乐购银行获益的金额为零。
第二步,违法严重性的评估。英国金融行为管理局指出,违法严重性是根据金融机构在违规行为期间相关的业务或产品对消费者带来的损害以及风险进行衡量。英国金融行为管理局认为,乐购银行案中的违法严重性应按照网络攻击期间平均每个现金账户承受的风险金额进行计算,具体时间从2014年6月1日(乐购银行开始发行借记卡)到2016年11月9日(乐购银行开始恢复正常操作)。通过分时期、分阶段进行计算,处罚金额总计3356万英镑。
第三步,引入减轻和加重因素。英国金融行为管理局认为,不存在要加重处罚的因素,并将以下因素列为减轻处罚的因素:一是乐购银行积极配合监管调查;二是在网络攻击发生之后,立即启动对本行管理的第三方评估,并根据评估情况进行了整改;三是对金融犯罪控制团队加大资源投入,扩充队伍并开展培训;四是启动实施消费者补偿方案;五是乐购银行应对网络攻击的措施阻止了80%欺诈交易的发生。综上,可以对乐购银行减轻处罚,处罚金额降低至2343万英镑。鉴于乐购银行配合英国金融行为管理局的监管调查并尽快提出了解决方案,可以进一步降低处罚,最终英国金融行为管理局对乐购银行因违反《决定程序和惩罚手册》而课以处罚的总金额为1640万英镑。
1.强调金融消费者保护。英国金融行为管理局从成立之初,就一直强调“消费者是监管核心”的理念,在所有的监管环节中始终将金融消费者保护置于最重要的位置。在乐购银行遭受网络攻击后,英国金融行为管理局经过历时两年的调查,作出了相关的处罚决定,乐购银行不仅要缴纳相应的罚金,还要补偿消费者226万英镑,这一处罚体现了英国金融行为管理局坚持金融消费者权益至上的理念。
2.加大对违规行为本身的处罚。在整个网络攻击事件中,乐购银行内部控制与合规风险管理暴露出较多的问题。英国金融行为管理局对乐购银行的处罚主要基于以下几点:金融产品设计存在缺陷,对消费者利益保护不足,忽视对网络攻击的预警,应对攻击事件不当。这反映了在涉及到风险管理方面,英国金融行为管理局更注重对商业银行违规行为的处罚,而不是仅仅考虑攻击事件的最终结果以及金融消费者是否得到了合理的补偿。
3.重视商业银行内部控制机制建设及执行。英国金融行为管理局对乐购集团的风险管理框架、董事会对金融犯罪的防控、银行合规风险管理三道防线的运行进行审查,认为乐购银行的金融犯罪治理框架是清晰的,每一项机制在框架内都有独特的职责,为降低乐购银行所面临的金融犯罪风险发挥了有效作用。但是,乐购银行在应对网络攻击过程中,有关的负责人和管理人员未能以专业、谨慎和勤勉的方式履行职责,没有采取适当的措施缓释正在发生的网络犯罪风险、确保网络犯罪带来的影响得到较好的控制。英国金融行为管理局指出,乐购银行虽然内部控制机制架构健全,但是在机制运行方面却存在较为严重的问题,这也是英国金融行为管理局对乐购银行进行处罚的主要原由所在。
金融与互联网的深度融合使得网络攻击可能发生在任何场景之中。若商业银行采用的互联网技术未能与业务发展需要相匹配,犯罪分子便可能会利用银行的管理漏洞从事违法犯罪行为。在英国乐购银行网络攻击案件中,犯罪分子发现乐购银行借记卡的编号漏洞,于是利用云计算模式展开网络攻击,通过伪造欺诈交易以图获利。这一网络攻击事件凸显了乐购银行在合规风险识别和评估上的缺陷。
合规风险的识别与评估是合规风险管理的前提和基础。英国金融行为管理局指出,乐购银行合规风险管理的失职之处主要在于,收到国际银行卡组织发出的警报后,并未采取及时、有效的行动防范可能的网络攻击。如果乐购银行积极开展合规风险的识别与评估,就会对网络环境和自身状况有更加清晰、明确的认识,及时采取措施加强风险管理、避免网络攻击的发生。
综上所述,小学阶段是学生思维能力过渡发展的重要阶段,所以在小学教学中,教师应该把抽象复杂的教学知识具体形象化,随着社会信息化进程的不断加快,现代信息技术已经渗透到各个行业,在此时代背景下,小学教学也应该与时俱进,积极改革教学技术,以充分满足小学教学的实际需要,而信息化教学资源为广大师生提供了丰富的教学资源,不仅充分体现了新课改的教学理念,还确保了课堂教学活动的丰富性和趣味性,显著提升了小学教学水平,增强了学生的综合素养。
外部风险冲击事件往往致使商业银行遭受声誉损失以及来自监管部门的惩罚。为逃避责任,有的商业银行管理层会对风险事件加以掩盖。乐购银行在网络攻击发生之后,立即聘请第三方开展内部控制评估、进行内部整改,及时停止异常交易,防止消费者损失进一步扩大。对已造成的损失,乐购银行在清查之后对消费者进行了全面的补偿。此外,乐购银行始终保持与监管当局的良好沟通,最终与英国金融行为管理局达成和解协议,英国金融行为管理局减轻了对该行的处罚力度。尽职维护金融消费者权益,加强与监管当局的沟通,积极配合监管当局开展整改,是商业银行合规风险管理的必要举措。
应对网络安全风险,必须在公司治理层面建立统一的网络安全合规风险管理框架,对每个业务部门的职责加以明确划分、配置适当的资源以确保各个条线、部门、岗位尽职履行合规风险管理职责。英国金融行为管理局经评估指出,乐购银行的网络安全治理框架是合适的,但合规风险管理的具体执行过程中出现了较为严重的问题,内部管理缺失,相关工作人员既缺乏专业化知识应对网络风险事件,也没有以谨慎和勤勉的态度履行职责,这是导致网络攻击事件发生的根源。由此可见,维护网络安全,商业银行必须加强内部控制体系建设并保障其合理、顺畅运行,方能切实发挥网络安全合规风险管理框架的作用、实现风险防控的目标。
从国内情况看,当前互联网信息科技与银行业务高度融合,网络运营、管理和服务成为商业银行打造核心竞争力的关键环节,维护网络安全也成为银行合规风险管理的重要目标。2017年6月1日生效实施的《中华人民共和国网络安全法》对商业银行网络安全管理提出了更高要求。商业银行应当根据国家法律法规对网络安全管理的最新要求,加强对网络安全形势的分析与研判,进一步提高网络安全的合规风险管理能力。
网络安全属于信息科技风险管理范畴,是操作风险管理的重要内容。商业银行在构建合规风险管理框架时,有必要将网络安全作为信息科技风险治理的重要目标纳入其中,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制,确保网络安全合规风险管理体制机制的有效运行以及监督机制作用的发挥。在公司治理层面,可以考虑成立网络安全风险治理委员会,专门负责网络安全、防范网络攻击。各业务部门承担与本部门相关的网络安全合规风险管理职责,由合规部门对业务部门履职进行监督及检查,由审计部门对业务部门、合规部门进行审计监督,并且做好对影响银行正常运营的网络安全事故的跟踪调查与审计。
在当前网络安全形势严峻的背景下,商业银行有必要加大对网络安全合规风险管理的资源投入,做到资源投入与网络风险、业务规模、管理需要等相适应。一是要配置有关网络安全防护的软件和硬件设施,维护网络及系统顺畅运行,防范潜在的网络攻击;二是加大人力资源投入,配置专业化水平较高的网络安全管理人员,妥善地管理网络安全合规风险、及时预警并发现可能的网络攻击事件;三是定期对在岗人员进行专业化培训,使从业人员对商业银行面临的网络风险具有充分的认识,能够根据不同的情况及时采取有效的应对措施。
一是建立网络安全合规风险定期评估制度。定期对网络系统的信息风险进行评估,及时更新硬件设备及操作流程以纠正信息系统、业务流程与内部控制措施的偏离。尽管大部分商业银行对网络安全的重视程度不断提高,但有的商业银行仍然缺乏有效应对网络安全漏洞的管理与修复机制,这便给网络攻击者提供了可乘之机。合规风险管理部门在开展网络安全合规风险评估的过程中,要着重关注网络安全漏洞的修复与管理,尽早将可能的风险隐患识别出来。二是根据风险评估情况开展定期的周期性渗透测试和漏洞评估。通过系统扫描结果和风险评估结果,对网络安全漏洞逐一进行辨认和排查,做好信息系统的合规风险审查。三是建立网络安全突发事件应对机制。当网络安全事件影响信息系统的保密性、完整性以及金融机构的正常运营时,立即进行响应并快速评估信息系统的受损情况,进而对系统加以修复和完善。合规风险管理部门要从风险评估机制、控制措施及安全事件的应对机制等方面开展监督和检查,督促业务部门加强和完善网络安全合规风险管理。
一是加强对网络安全事件的监测和检查,建立健全监察制度并安排专人负责该项任务。二是完善网络安全管理制度,制定访问权限、应用程序安全审查、特定情形的复合因素认证要求、数据保存等网络安全控制程序,增加保密和认证环节,提高网络系统的保密性和安全性。三是对已识别或者监测到的网络安全事件进行快速回应,第一时间采取有效措施控制风险因子,隔绝风险源,缓释风险点带来的损害,降低网络安全事件带来的不良影响程度。
一是落实金融消费者保护机制。当网络攻击事件发生后,商业银行要重视金融消费者权益保护,尽快清查消费者遭受的损失并进行合理赔偿。这既是商业银行合规风险管理的必然要求,也是商业银行承担社会责任的重要内容。但从实际情形来看,有的商业银行并没有积极落实金融消费者保护机制,在网络安全事件发生时,对金融消费者权益的保护有所忽视,致使消费者蒙受损失。二是落实整改责任机制。通过排查、整改内部控制中存在的问题,提高风险管理水平,能够避免合规风险事件的再次发生。商业银行应当对存在网络安全合规风险的业务流程及制度缺陷进行及时的改造,弥补管理上的漏洞,切实发挥合规管理机制的风险防控功能。
© 2019-2021 All rights reserved. 北京转创国际管理咨询有限公司 京ICP备19055770号-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市丰顺县留隍镇新兴路881号
北京市大兴区新源大街25号院恒大未来城7号楼1102室
北京市海淀区西禅寺(华北项目部)
深圳市南山区高新科技园南区R2-B栋4楼12室
深圳市福田区华能大厦
佛山顺德区北滘工业大道云创空间
汕头市龙湖区泰星路9号壹品湾三区
长沙市芙蓉区韶山北路139号文化大厦
欢迎来到本网站,请问有什么可以帮您?
稍后再说 现在咨询