银行业信息科技风险监管培训之电子银行监管课件说课讲解

1、银行业信息科技风险监管培训之电子银行监管课件近期的保安事故与诈骗事件近期的保安事故与诈骗事件个案个案 1：伪冒网站：伪冒网站可疑的银行网站： “”个案个案 1：伪冒网站：伪冒网站2003年6月，金管局收到超过14项有关“Banquedenationale Bank”的查询，这个网站 “”，自称是在香港、纽约和伦敦均设有办事处的银行初步结论可能违反银行业条例，并且怀疑是伪冒网站向香港警务处举报以便进行调查与美国和英国监管机构确定 “Banquedenationale Bank” 并未获得任何认可或银行业牌照在2003年6月19日发出新闻稿，提高香港市民对伪冒网站的警觉个案个案 2：欺诈电邮连接伪

2、冒网站：欺诈电邮连接伪冒网站个案个案 2 : 2 : 伪冒网站的登入网页伪冒网站的登入网页所显示的网站地址: http:/真实的网站地址: http:/ 70/login/login.htm伪冒网站显示正确的银行网站地址伪装扣锁伪冒证书个案个案 3 3：特洛伊木马程序：特洛伊木马程序真实个案真实个案 - - 三井住友银行三井住友银行日期日期: 2005年3月计划利用特洛伊木马程序从三井住友银行计划利用特洛伊木马程序从三井住友银行伦敦分行盗取伦敦分行盗取2 2亿亿2 2千万镑千万镑( (超过超过3434亿港元亿港元) )诈骗手法诈骗手法: :F犯罪集团利用特洛伊木马程序

3、来套取用户所按过的键，以窃取其登入姓名和密码F意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警，以色列警方逮捕其中一个疑犯F怀疑银行内部有职员协助犯罪集团安装特洛伊木马程序或由黑客将特洛伊木马程序从外面安装到银行网络个案个案 3 :特洛伊木马程序特洛伊木马程序互联网互联网特洛伊木马特洛伊木马程序程序计算机窃贼计算机窃贼透过互联网把特透过互联网把特洛伊木马洛伊木马(如按键如按键录取程序、荧幕录录取程序、荧幕录取程序取程序) 植入受害人植入受害人的个人计算机内的个人计算机内连接网上连接网上银行网站银行网站受害人受害人特洛伊木马特洛伊木马已安装特洛伊木马，但受害人全然不知按键录取

4、程序或荧幕录取程序按键录取程序或荧幕录取程序记下受害人的密码登入姓名记下受害人的密码登入姓名个案个案 3：特洛伊木马程序：特洛伊木马程序互联网互联网ABC网上银行服务网上银行服务ABC 银行银行计算机窃贼计算机窃贼计算机窃贼登入受害人登入受害人的账户的账户电子银行交易电子银行交易受害人的银行账户受害人的银行账户计算机窃贼的银行账计算机窃贼的银行账户户電腦竊賊个案个案 4 : 4 : 十万网上户口资料被窃取十万网上户口资料被窃取个案个案 5 : 修改修改”host”档案连结到伪冒网站档案连结到伪冒网站于二零零四年十一月攻击三间巴西银行- Caixa, Unibanco 和 Bradesco特洛伊

5、木马程序或恶意的编码程序修改受害者计算机的”host”档案受害者输入正确的银行网站地址但连结到伪冒的网站用户输入正确的银行网站地址Internet (IP) address of fake website以修改的host档案翻译正确的银行网站地址成为伪冒网站的IP地址使用者连结到伪冒网站个案个案 6 6：网上交易系统诈骗事件：网上交易系统诈骗事件真实个案真实个案 - E-Trade Securities - E-Trade Securities 与与 TD WaterhouseTD Waterhouse日期日期: 2006年10月电脑窃贼入侵E-Trade Securities 与 TD Wa

6、terhouse客人户口，并利用 抬 高 股 价 ， 趁 高 出 货 （ pump-and-dump ）的手法导致2千2百万美元损失诈骗手法诈骗手法: :F东欧及亚洲的黑客利用特洛伊木马程序于受害者的电脑中安装键盘侧录程序，并于受害者登入账户时盗取其资料F黑客接着以受害者的户口买入一些冷门股，炒高股价后再沽出黑客先前买下的股票套利FE-Trade 与 TD Waterhouse合共花费2千2百万美元以补偿客户的损失个案个案 7 : MarketScore proxy 服务服务声称可以增加互联网的联机速度及得到使用者的同意搜集其数据以“中间人”技术于proxy服务器解读经SSL加密的敏感信息(例

7、如密码)proxy服务器发出的电子证书加密使用者与proxy服务器之间传送的数据银行的电子证书加密Proxy服务器与银行之间传送的数据个案个案 8 : 中间人技术中间人技术黑客黑客客户进行网上银行户口转帐客户进行网上银行户口转帐入账户口入账户口: 123456-111金额金额: $100银行系统确认交易信息银行系统确认交易信息入账户口入账户口: 987656-222金额金额: $9000黑客中途拦截网银交易信息，更改交黑客中途拦截网银交易信息，更改交易指令易指令入账户口入账户口: 123456-111 987656-222金额金额: $100 $9000黑客中途拦截及更改银行系黑客中途拦截及更

8、改银行系统确认交易信息，使银行客统确认交易信息，使银行客户不察觉交易指令已被更改户不察觉交易指令已被更改入账户口入账户口: 987656-222 123456-111金额金额: $9000 $100银行客户银行客户银行计算机银行计算机系统系统个案个案 9 : 9 : 美国信用咭资料外泄事件美国信用咭资料外泄事件一家受雇于美国多间银行的信用咭交易处理中心(CardSystems)于2005年6月被黑客盗取了多名持咭人的资料, 而该类资料更可被用作欺诈性的交易。原因: 违反信息保安标准敏感的持咭人数据于完成授权过程后错误地保留在处理中心没有将资料加密, 作为特殊的商业, 法律及监管用途保安管理不足

9、以防止黑客入侵约12,000张由香港银行所发出的信用咭受影响香港的持咭人没有金钱上的损失美国Visa及MasterCard的交易流程事件引起的回响事件引起的回响事件指出以下项目的重要性 对外判的服务供货商, 特别是信息保安, 应有充分的管理制订有效的评估去防止日益增加的黑客入侵风险制订有效的政策及程序, 去保护, 贮存及加密客人的数据金管局的评估/行动 信息科技外判, 网上银行的监察及科技风险管理的指引 要求各银行再次评估其对于客户数据保安, 贮存及保密的内部及外判活动的充分性及有效性 监管控制自我评估及现场审查计划个案个案 10 : 10 : 美国美国TJXTJX公司公司45004500万顾

10、客资料被盗窃万顾客资料被盗窃 全球零售业巨头TJX公司于2007年3月承认，在过去一年半时间内，公司的系统遭到黑客多次侵袭，导致超过4500万的顾客之信用卡资料被盗去。 相信黑客是利用TJX无线网络(W-Fi)的保安不足， 通过连接无线电接收器的手提电脑，偷偷窥察TJX网络的敏感数据(如网络登入名称及密码)，然后侵入TJX的系统盗取顾客数据。 部份的顾客信用卡资料更被放上互联网公开发售，每张信用卡的资料为$20至$100美元 (视乎信用卡的信用额) 。 相信部分的信用卡已被用作欺诈性的交易。 估计TJX公司的损失达10亿美元(包括律师费用、赔偿等）。13Wi-Fi 无线网络信用卡资料2公司总部

11、公司总部零售分店零售分店美国TJX公司顾客资料盗窃手提式价格查阅机分店计算机系统黑客黑客个案个案 11 : 11 : 电脑蠕虫电脑蠕虫/ /病毒攻击病毒攻击 SQL Slammer SQL Slammer2003年1月,快速蔓延的“SQL Slammer”蠕虫病毒感染大量企业与政府电脑,部份几乎陷于瘫痪蠕虫病毒透过SQL Server 2000的安全漏洞入侵服务器并开始扩散,导致网络流量大幅增加破坏程度极高,亚洲,欧洲及美国的网络皆受到不同程度的攻击, 部份网上服务因而速度减慢甚至中断蠕虫病毒攻击更令美国银行（Bank of America）的客户因技术故障而不能从13,000部自动提款机中提

12、款挑战与风险挑战与风险电子银行风险与技术风险电子银行风险与技术风险 使用互联网作为新型的银行服务渠道将在某种程度上改变银行的风险形态，并且对银行的风险控制提出新的挑战 与电子银行相关的基本风险类型可能没有大的变化，但风险产生的具体方式，以及潜在风险规模和对银行的影响速度，对于银行管理和银行监管提出新的课题 除了战略风险外，操作风险、技术风险、信誉风险、法律风险，信用与资产流动性风险都需要考虑操作风险操作风险增加了保安事故、服务中断或操作失误的可能性：电子银行网络的开放性用户的自助操作和电子银行设备（如个人电脑）常常超出了银行的控制范围是对多种技术、系统和多边操作的整合很容易可在互联网上找寻到有

13、关系统上的保安漏洞数据操作上的漏洞也可能被不法之徒利用信信誉和法律风险誉和法律风险 (1) (1) 大众媒体喜欢炒作“有关网上银行问题” 信任难于获得但易于失去 保安事故可能演化为信誉，甚至法律问题: 当银行不能充分保护本机构的系统，并且不能向客户提供恰当的保安建议 客户错误地将保密信息传送给与银行官方网站域名相似的可疑网站信信誉和法律风险誉和法律风险(2)(2) 电子银行用户期望较高很难容忍低效率或不能使用的系统（例如：网上股票交易），即使不属于银行的控制管理范围投诉的原因可能是上网经验不足，错误使用或错误理解网上银行功能，以及其它技术性原因 不充分的信息披露个人资料隐私问题（由于银行能透过

14、电子银行服务获取很多客户资料）透过超链结方法所连系到由第三方提供的服务信信誉和法律风险誉和法律风险(3)(3) 法律问题 由于互联网及全球，因此网上银行业务需要符合境外的法律和监管要求（如：信息披露要求） 与电子银行用户无法进行面对面交流，需要防范洗钱等行为 银行无法充分确认新推出的电子银行服务所可能涉及的法律问题其它风险其它风险 电子银行的基本业务（如贷款、交易等）可能引发其它风险： 例如：电子银行允许大额资金的网上实时划转，可能增加资金流动性风险 电子银行客户关系的远程性和短期性，以及因竞争压力而降低信贷标准，可能增加信用风险香港网上银行诈骗香港网上银行诈骗香港的银行欺诈电邮和伪冒网站个案

15、数目从2003年的8宗大幅增加至2004年的34宗，之后个案数目才减少，但近年又有上升的趋势:于2004年9月发生第一宗有金钱损失的个案26名受害人共损失140万港元2003年 - 8宗2004年 - 34宗2005年 - 25宗2006年 - 17宗2007年 - 27宗欺诈电邮和伪冒网站个案数目香港金管局的监管要求香港金管局的监管要求董事会董事会/高级管理层监督高级管理层监督 控制措施控制措施 建立专责委员会对主要电子银行业务进行评估 在开发新的电子银行服务之前，制定有正式的业务战略 对电子银行业务制定风险管理政策和规程 促进“安全文化”建设 由可靠的独立专家对新的电子银行业务实施独立评估

16、董事会董事会/高级管理层监督高级管理层监督 观察到的问题观察到的问题现场检查过程中发现的问题：现场检查过程中发现的问题： 高级管理层对电子银行业务监督不足（如：缺乏正式的督导委员会） 对新的和经过重大升级的电子银行业务缺少独立性评估 缺乏全面的互联网安全控制措施（如：防火墙和隔离区网络的设置）关键的技术风险控制措施关键的技术风险控制措施 风险控制要求风险控制要求 实施严格身份认证身份认证措施（如：双重身份认证）以识别电子银行客户 对敏感信息实施加密加密 在传输过程中，对敏感信息实施强“端对端对端端”加密加密 实施全面有效的输入参数输入参数值值验证验证 建立保安严谨的互联网基础建设保安严谨的互联

17、网基础建设 对电子银行系统和互联网设备实施持续性持续性监测监测关键的技术风险控制措施关键的技术风险控制措施 风险控制要求（续）风险控制要求（续） 建立正式的事故应变和管理机制 对电子银行业务实施有效的业务持续性规划 对电子银行系统实施容量规划和性能监测 对外部电子银行服务供应商实施尽职调查关键的技术风险控制措施关键的技术风险控制措施 观察到的问题观察到的问题 (1)(1)现场检查过程中发现的问题：现场检查过程中发现的问题： 使用较弱的身份认证方式无法有效防范各种网络攻击（如：诈骗电邮和欺诈银行网站） 没有有效地实施双重身份认证（如：数码证书只存储于硬盘） 缺少“端对端”加密 缺少实时监测工具对

18、互联网入侵进行及时监测关键的技术风险控制措施关键的技术风险控制措施 观察到观察到的问题的问题 (2)现场检查过程中发现的问题：现场检查过程中发现的问题： 没有及时向监管机构报告事故 系统恢复能力或备份系统不足： 导致长时间业务停运 改为使用人手操作模式，导致服务效率降低 网络带宽和系统容量不足消费者保护消费者保护 风险控制要求风险控制要求 (1) 严格依照“银行营运守则”的要求向个人客户提供电子银行服务 使用可靠的身份认证方式确认客户的身份 当客户要求变更任何电子银行账户资料时，必须实施充分的身份审查 实施适当的措施以处理客户其它户口资料变更 对向非注册第三方的资金转移实施充分的控制措施消费者

19、保护消费者保护 风险控制要求风险控制要求(2) 建立有效机制监测异常活动 不使用电邮询问客户的敏感信息 经常性地搜索与银行网站域名易混淆的第三方网站 向客户提供有效的预防性安全建议 经常性地评估电子银行业务的法律和信誉风险消费者保护消费者保护 观察到观察到的问题的问题现场检查过程中发现的问题：现场检查过程中发现的问题： 使用不安全的方式向客户发送用户名称和密码 缺乏假电邮和假网站的侦测机制（如：定期搜索域名）； 对异常交易监测不足 （如：资金划转和股票交易）。双双重重身份认证身份认证Two-factor authentication双双重重身份认证身份认证 2004年1月，发布通知要求银行在2005年6月前全部使用双重身份认证 对所有高风险的零售电子银行交易强制实施 没有双重身份认证的用户不允许进行高风险交易原因解释原因解释 我们为什么需要双重身份认证？