科技风险管理及电子银行业务的监管课件详解.ppt

银行监管高层研讨班科技风险管理及电子银行业务的监管 大纲 近期香港电子银行发展状况 金管局就电子银行与科技风险管理的监管架构 保安事故与诈骗事件简介 欺诈电子邮件/伪冒网站与「 特洛伊木马」程序示范 近期香港电子银行发展状况 香港网上银行的发展 提供网上银行服务的银行： 56 家银行 约占银行体系92%的客户存款总额与80%的资产总值 (已扣除准备金) 6 家银行透过流动电话或PDA (个人数码助理或个人电子手帐) 提供流动电话理财服务 宽带上网登记用户： 约有188万个（截至 2007年12月） (资料来源：电讯管理局) 网上银行发展－个人户口 网上银行发展－工商企业户口 挑战与风险 电子银行风险与技术风险 使用互联网作为新型的银行服务管道将在某种程度上改变银行的风险形态，并且对银行的风险控制提出新的挑战 与电子银行相关的基本风险类型可能没有大的变化，但风险产生的具体方式，以及潜在风险规模和对银行的影响速度，对于银行管理和银行监管提出新的课题 除了战略风险外，操作风险、技术风险、信誉风险、法律风险，信用与资产流动性风险都需要考虑 监管架构 政策与指引 政策与指引 双重认证 为什么使用双重认证 为什么需要双重认证? 用户名称和密码保安程度不足够 — 出现利用欺诈电邮，伪冒网站，计算机病毒和「特洛伊木马」程序等盗取用户名称和密码的案例 什么是双重认证? 双重认证方法的例子 最新发展 最新发展 认知与培训 持续监察与审查 持续监察与审查 2002年开始推行现场审查计划 至今已进行约200项这类审查 制定科技风险状况分析制度 已完成约90多家银行或有关机构的科技风险状况分析 现场审查流程 监管控制自我评估 监管控制自我评估 协助金管局安排监管资源的优先次序，并充分涵盖各主要银行 已经向香港61家银行推出自我评估计划 取得正面响应，包括： 示意评估结果及报表 示意评估结果及报表 (续) 示意评估结果及报表 (续) 示意评估结果及报表 (续) 国际合作 国际合作 由于电子银行诈骗活动跨越国界，金管局已积极参予国际银行监管机构科技监管小组： 保安事故与诈骗事件简介 个案 1：伪冒网站 个案 1：伪冒网站 2003年6月，金管局收到超过14项有关“Banquedenationale Bank”的查询，这个网站 “”，自称是在香港、纽约和伦敦均设有办事处的银行 初步结论──可能违反《银行业条例》，并且怀疑是伪冒网站 向香港警务处举报以便进行调查 与美国和英国监管机构确定 “Banquedenationale Bank” 并未获得任何认可或银行业牌照 在2003年6月19日发出新闻稿，提高香港市民对伪冒网站的警觉 个案 3：「特洛伊木马」程序 真实个案 - 三井住友银行 日期: 2005年3月 计划利用「特洛伊木马」程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元) 诈骗手法: 犯罪集团利用「特洛伊木马」程序来套取用户所按过的键，以窃取其登入姓名和密码 意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警，以色列警方逮捕其中一个疑犯 怀疑银行内部有职员协助犯罪集团安装「特洛伊木马」程序或由黑客将「特洛伊木马」程序从外面安装到银行网络 个案 3 :「特洛伊木马」程序 个案 3：「特洛伊木马」程序 个案 4 : 十万网上户口资料被窃取 个案 5 : 修改”host”档案连结到伪冒网站 于二零零四年十一月﹐攻击三间巴西银行- Caixa, Unibanco 和 Bradesco 特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案 受害者输入正确的银行网站地址但连结到伪冒的网站 个案 6：网上交易系统诈骗事件 真实个案 - E-Trade Securities 与 TD Waterhouse 日期: 2006年10月 电脑窃贼入侵E-Trade Securities 与 TD Waterhouse客人户口，并利用「 抬 高 股 价 ， 趁 高 出 货 」 （ pump-and-dump ）的手法导致2千2百万美元损失 诈骗手法: 东欧及亚洲的黑客利用「特洛伊木马」程序于受害者的电脑中安装键盘侧录程序，并于受害者登入账户时盗取其资料 黑客接着以受害者的户口买入一些冷门股，炒高股价后再沽出黑客先前买下的股票套利 E-Trade 与 TD Waterhouse合共花费2千2百万美元以补偿客户的损失 个案 7 : MarketScore proxy 服务 个案 8 : 「中间人」技术 个案 9 : 美国信用咭资料外泄事件 美国Visa及MasterCard的交易流程 事件引起的回响 个案 10 : 美国TJX公司4500万顾客资料被盗窃 示范 汲取教训 备有紧急联络数据 有效的事故