银行业信息科技风险监管培训之电子银行监管.ppt

目录 挑战与风险 — 近期的保安事故与诈骗事件 香港金管局的监管要求 双重身份认证 消费者教育 近期的保安事故与诈骗事件 个案 1：伪冒网站 个案 1：伪冒网站 2003年6月，金管局收到超过14项有关“Banquedenationale Bank”的查询，这个网站 “”，自称是在香港、纽约和伦敦均设有办事处的银行 初步结论──可能违反《银行业条例》，并且怀疑是伪冒网站 向香港警务处举报以便进行调查 与美国和英国监管机构确定 “Banquedenationale Bank” 并未获得任何认可或银行业牌照 在2003年6月19日发出新闻稿，提高香港市民对伪冒网站的警觉 个案 3：「特洛伊木马」程序 真实个案 - 三井住友银行 日期: 2005年3月 计划利用「特洛伊木马」程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元) 诈骗手法: 犯罪集团利用「特洛伊木马」程序来套取用户所按过的键，以窃取其登入姓名和密码 意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警，以色列警方逮捕其中一个疑犯 怀疑银行内部有职员协助犯罪集团安装「特洛伊木马」程序或由黑客将「特洛伊木马」程序从外面安装到银行网络 个案 3 :「特洛伊木马」程序 个案 3：「特洛伊木马」程序 个案 4 : 十万网上户口资料被窃取 个案 5 : 修改”host”档案连结到伪冒网站 于二零零四年十一月﹐攻击三间巴西银行- Caixa, Unibanco 和 Bradesco 特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案 受害者输入正确的银行网站地址但连结到伪冒的网站 个案 6：网上交易系统诈骗事件 真实个案 - E-Trade Securities 与 TD Waterhouse 日期: 2006年10月 电脑窃贼入侵E-Trade Securities 与 TD Waterhouse客人户口，并利用「 抬 高 股 价 ， 趁 高 出 货 」 （ pump-and-dump ）的手法导致2千2百万美元损失 诈骗手法: 东欧及亚洲的黑客利用「特洛伊木马」程序于受害者的电脑中安装键盘侧录程序，并于受害者登入账户时盗取其资料 黑客接着以受害者的户口买入一些冷门股，炒高股价后再沽出黑客先前买下的股票套利 E-Trade 与 TD Waterhouse合共花费2千2百万美元以补偿客户的损失 个案 7 : MarketScore proxy 服务 个案 8 : 「中间人」技术 个案 9 : 美国信用咭资料外泄事件 美国Visa及MasterCard的交易流程 事件引起的回响 个案 10 : 美国TJX公司4500万顾客资料被盗窃 个案 11 : 电脑蠕虫/病毒攻击– SQL Slammer 2003年1月,快速蔓延的“SQL Slammer”蠕虫病毒感染大量企业与政府电脑,部份几乎陷于瘫痪 蠕虫病毒透过SQL Server 2000的安全漏洞入侵服务器并开始扩散,导致网络流量大幅增加 破坏程度极高,亚洲,欧洲及美国的网络皆受到不同程度的攻击, 部份网上服务因而速度减慢甚至中断 蠕虫病毒攻击更令美国银行（Bank of America）的客户因技术故障而不能从13,000部自动提款机中提款 挑战与风险 电子银行风险与技术风险 使用互联网作为新型的银行服务渠道将在某种程度上改变银行的风险形态，并且对银行的风险控制提出新的挑战 与电子银行相关的基本风险类型可能没有大的变化，但风险产生的具体方式，以及潜在风险规模和对银行的影响速度，对于银行管理和银行监管提出新的课题 除了战略风险外，操作风险、技术风险、信誉风险、法律风险，信用与资产流动性风险都需要考虑 操作风险 增加了保安事故、服务中断或操作失误的可能性： 电子银行网络的开放性 用户的自助操作和电子银行设备（如个人电脑）常常超出了银行的控制范围 是对多种技术、系统和多边操作的整合 很容易可在互联网上找寻到有关系统上的保安漏洞数据 操作上的漏洞也可能被不法之徒利用 信誉和法律风险 (1) 大众媒体喜欢炒作“有关网上银行问题” 信任难于获得但易于失去 保安事故可能演化为信誉，甚至法律问题: 当银行不能充分保护本机构的系统，并且不能向客户提供恰当的保安建议 客户错误地将保密信息传送给与银行官方网站域名相似的可疑网站 信誉和法律风险(2) 电子银行用户期望较高 很难容忍低效率或不能使用的系统（例如：网上股票交易），即使不属于银行的控制管理范围 投诉的原因可能是上网经验不足，错误使用或错误理解网上银行功能，以及其它技术性原因 不充分的信息披露 个人资料隐私问题（由于银行能透过电子银行服务获取很多客户资料） 透过超链结方法所连系到由第三方提供的服务 信誉和法律风险(3) 法律问题 由于互联网及全球，因此