廣告合規(guī)法務(wù) 企業(yè)合規(guī) 藥企合規(guī) 企業(yè)廉潔合規(guī) 企業(yè)合規(guī)管理 上市公司合規(guī) 企業(yè)合規(guī)管理
網(wǎng)絡(luò)攻擊是移動互聯(lián)網(wǎng)時代商業(yè)銀行面臨的外部風(fēng)險之一,在商業(yè)銀行內(nèi)部控制以及合規(guī)風(fēng)險管理中應(yīng)當受到高度重視。2018年10月1日,英國金融行為管理局(Financial Conduct Authority)對英國最大超市樂購集團(Tesco PLC)全資控股的樂購銀行(Tesco Bank)處以罰款1640萬英鎊,折合人民幣1.48億元。罰款是針對該銀行在2016年11月發(fā)生的網(wǎng)絡(luò)攻擊事件中未能夠勤勉、盡職保護客戶免受可預(yù)見的損失而施加的處罰。當前,國際銀行業(yè)面臨的網(wǎng)絡(luò)黑客攻擊形勢嚴峻,英國金融行為管理局對樂購銀行處罰案例為全球商業(yè)銀行的網(wǎng)絡(luò)安全管理敲響了警鐘。下面對該案例進行分析,并以案為鑒,提出對我國銀行業(yè)網(wǎng)絡(luò)風(fēng)險管理的若干啟示及對策建議。
樂購集團(Tesco)與沃爾瑪、家樂福并稱為全球三大零售商,樂購銀行是樂購集團旗下的網(wǎng)絡(luò)銀行。樂購銀行前身為樂購金融服務(wù)公司,是樂購集團與蘇格蘭皇家銀行的合資公司。2008年12月19日,樂購集團收購了蘇格蘭皇家銀行的股份,全資擁有樂購金融服務(wù)公司并更名為樂購銀行。樂購銀行可以為客戶提供一系列的金融產(chǎn)品及服務(wù),包括儲蓄、現(xiàn)金、信用卡、抵押、貸款、保險和借記卡服務(wù)等。
在樂購銀行成立之前,樂購集團和國民西敏寺銀行(NatWest)聯(lián)合提供被稱為樂購俱樂部卡的儲蓄卡,該卡與客戶的儲蓄賬戶相關(guān)聯(lián),客戶能夠通過該卡片進行購物和ATM取款。該卡在樂購銀行成立之后成為樂購銀行的產(chǎn)品。2010年,樂購銀行決定給客戶提供個人現(xiàn)金賬戶的借記卡,并以樂購集團存量客戶為基礎(chǔ),通過忠誠度獎勵計劃將樂購俱樂部卡融合進來。截至2016年11月末,樂購銀行員工總數(shù)約為4000人,擁有760萬個客戶賬戶,13.6萬個現(xiàn)金賬戶。
2016年12月13日之前,樂購銀行在發(fā)行借記卡時是從一批連續(xù)的5萬個數(shù)字當中以隨機的方式進行編碼,直到該批數(shù)字用完才會使用下一批數(shù)字。這導(dǎo)致樂購銀行借記卡出現(xiàn)了有依據(jù)的可被計算的按次序卡號,使網(wǎng)絡(luò)攻擊者容易推測出真實的借記卡卡號。在網(wǎng)絡(luò)攻擊發(fā)生后,樂購銀行修改了這種卡號編碼方式。
樂購銀行使用授權(quán)系統(tǒng)和欺詐交易監(jiān)測系統(tǒng)對交易進行監(jiān)控,通過授權(quán)系統(tǒng)提供基礎(chǔ)授權(quán)服務(wù),通過欺詐交易監(jiān)測系統(tǒng)進行反欺詐分析和監(jiān)測。一旦出現(xiàn)欺詐交易,欺詐交易監(jiān)測系統(tǒng)將下達指令阻止相關(guān)交易。但樂購銀行的欺詐交易監(jiān)測系統(tǒng)在身份驗證上是針對現(xiàn)金賬戶而不是借記卡,缺乏雙重驗證功能,這導(dǎo)致即使該系統(tǒng)監(jiān)測到網(wǎng)絡(luò)攻擊者發(fā)起欺詐交易,且銀行已經(jīng)對借記卡掛失,但網(wǎng)絡(luò)攻擊者仍然可以使用賬戶上的資金余額,只要該賬戶綁定了另外一張真實的借記卡。
2015年11月4日,維薩國際組織(VISA)向其成員(含樂購銀行)發(fā)出銀行欺詐交易的網(wǎng)絡(luò)攻擊風(fēng)險警示,指出美國和巴西有犯罪分子通過網(wǎng)絡(luò)攻擊進行“PoS91”類型交易的欺詐活動?!癙oS91”是一種行業(yè)代碼,指顧客使用銀行卡通過PoS機進行交易,PoS機終端根據(jù)與借記卡相關(guān)聯(lián)的芯片非接觸或者客戶通過移動設(shè)備完成支付。收到警示信息后,樂購銀行內(nèi)設(shè)的金融犯罪控制團隊立即停止了所有樂購銀行信用卡的“PoS91”類型交易,但是對借記卡的該類型交易沒有停止。2016年9月30日萬事達國際組織(Master Card)也對其成員(含樂購銀行)發(fā)出了“PoS91”類型交易欺詐警示郵件。郵件中提到,“PoS91”類型借記卡無接觸式欺詐交易通常表現(xiàn)為,犯罪分子偽裝成巴西賣家在美國小商品網(wǎng)站上進行低價值商品交易。樂購銀行金融犯罪反欺詐戰(zhàn)略團隊收到了該郵件,但并沒有采取進一步的措施。
2016年11月5日凌晨2:00,黑客對樂購銀行賬戶發(fā)起網(wǎng)絡(luò)攻擊,利用樂購銀行卡的編碼缺陷,計算出真實的樂購銀行借記卡卡號,再利用這些卡號生成虛擬銀行卡進行數(shù)千筆未授權(quán)的借記卡交易。凌晨4:00,樂購銀行的欺詐交易監(jiān)測系統(tǒng)給賬戶持有人發(fā)送信息,提醒客戶其賬戶發(fā)生可疑交易活動。賬戶持有人隨即與樂購銀行客戶服務(wù)人員進行電話聯(lián)系。樂購銀行的金融犯罪控制團隊這才了解到可疑交易活動的發(fā)生,但對于是否應(yīng)將這些可疑交易活動判斷為網(wǎng)絡(luò)攻擊,還需要進一步鑒別。
在網(wǎng)絡(luò)攻擊發(fā)生時,樂購銀行的金融犯罪控制團隊通過郵件試圖聯(lián)系金融犯罪反欺詐戰(zhàn)略團隊,而不是按照規(guī)定通過電話方式聯(lián)系,這導(dǎo)致金融犯罪控制團隊直到11月5日晚上23:00才與對方取得聯(lián)系。金融犯罪反欺詐戰(zhàn)略團隊從2016年11月6日凌晨1:48開始編制指令試圖阻止可疑交易,但指令的實施效果不明顯,這是因為其錯誤地使用歐洲貨幣代碼替代巴西國家代碼。雖然金融犯罪反欺詐戰(zhàn)略團隊很快發(fā)現(xiàn)了錯誤,重新編制交易阻止指令,但是還是有一些“PoS91”類型交易避開了樂購銀行的授權(quán)和欺詐交易監(jiān)測系統(tǒng)的監(jiān)測。
金融犯罪反欺詐戰(zhàn)略團隊隨后尋求外部專家支援以解決問題。直到2016年11月7日00:59,外部專家才找到問題產(chǎn)生的原因,原來是在最初編制交易阻止指令時引入了錯誤的編碼。11月7日03:35在線交易阻止指令才開始全面生效。11月8日,樂購銀行開始恢復(fù)正常的銀行客戶活動,期間部分客戶使用ATM機還需要進行身份驗證。11月9日8:00,樂購銀行撤銷所有針對網(wǎng)絡(luò)攻擊的相關(guān)措施,全面恢復(fù)正常營業(yè)。
一是管理人員未及時采取適當措施阻止網(wǎng)絡(luò)攻擊。當未能與金融犯罪反欺詐戰(zhàn)略團隊取得聯(lián)系時,樂購銀行沒有采取任何措施阻止攻擊的發(fā)生,導(dǎo)致由網(wǎng)絡(luò)攻擊產(chǎn)生的欺詐交易不斷進行,截至交易阻止指令發(fā)出時,已產(chǎn)生46000個欺詐交易,可見樂購銀行未有盡到勤勉責(zé)任、保護客戶免受網(wǎng)絡(luò)攻擊。
二是應(yīng)對網(wǎng)絡(luò)攻擊時出現(xiàn)操作性失誤。金融犯罪反欺詐戰(zhàn)略團隊編制指令以阻止源自于網(wǎng)絡(luò)攻擊形成的欺詐交易時,使用了錯誤的國家代碼,使得阻止指令無法及時生效。此外,由于在編制阻止指令時引入錯誤的編碼,致使部分欺詐交易避開監(jiān)測,阻止指令未能全面生效,導(dǎo)致客戶的權(quán)益持續(xù)受到損害。
三是信息系統(tǒng)設(shè)計存在嚴重缺陷。在第二次編制交易阻止指令時,在外部專家協(xié)助下發(fā)現(xiàn),樂購銀行的欺詐交易監(jiān)測系統(tǒng)將監(jiān)測對象設(shè)置為個人賬戶而不是借記卡,這意味與交易相關(guān)聯(lián)的借記卡即使被盜或丟失,與該卡相關(guān)聯(lián)的可疑交易也不會被欺詐交易監(jiān)測系統(tǒng)所發(fā)覺。
一是客戶資產(chǎn)受到較大損失。盡管樂購銀行及時阻止了約80%的未授權(quán)欺詐交易,但仍有8261個賬戶受到影響,資金損失達到226萬英鎊。據(jù)事后統(tǒng)計,在網(wǎng)絡(luò)攻擊過程中,客戶個人賬戶受到損失的程度并不相同:約7000位客戶損失在500英鎊以下;超過600位客戶的個人賬戶損失500~1000英鎊;超過600位客戶損失1000~5000英鎊;23位客戶損失5000~10000英鎊;損失最為嚴重的客戶的賬戶發(fā)生22次欺詐交易,總計損失65000英鎊。此外,由于欺詐交易的發(fā)生,樂購銀行客戶的賬戶出現(xiàn)余額扣除現(xiàn)象,導(dǎo)致668筆沒有支付的交易直接計入客戶的賬戶,樂購銀行不得不花費約9000英鎊用以支付全部受到攻擊的客戶賬戶因欺詐交易產(chǎn)生的利息和費用①。
二是客戶體驗受到較大的負面影響。部分客戶在網(wǎng)絡(luò)攻擊發(fā)生后的數(shù)日內(nèi)無法正常使用銀行卡,給生活和工作帶來了諸多不便。超過5000位客戶的賬戶發(fā)生0元酒店預(yù)訂的授權(quán)批準,而實際交易被店家或賣家撤銷、并沒有發(fā)生。部分客戶在接到樂購銀行發(fā)出的可疑交易監(jiān)測短信后,試圖通過電話聯(lián)系銀行客戶服務(wù)中心,卻無法從電話咨詢中獲得任何幫助。據(jù)統(tǒng)計,在11月6日當天,樂購銀行的電話服務(wù)熱線接到來自客戶的3887個電話,但94.4%的電話由于等待時間太長而未有接聽。
一是啟動消費者補償方案。在發(fā)生網(wǎng)絡(luò)攻擊之后,樂購銀行立即啟動消費者補償方案以彌補客戶的損失。樂購銀行將因欺詐交易而擬計入客戶賬戶的金額取消,同時立即退還相關(guān)客戶賬戶費用及利息,并根據(jù)個案的情況補償部分客戶的直接損失和精神損失。
二是對內(nèi)部控制問題進行反省并配合監(jiān)管部門開展整改。在網(wǎng)絡(luò)攻擊發(fā)生后,樂購銀行委托獨立第三方對網(wǎng)絡(luò)攻擊事件進行審查。經(jīng)外部專家證實,在網(wǎng)絡(luò)攻擊過程中沒有發(fā)生個人數(shù)據(jù)泄漏,該結(jié)論得到英國金融行為管理局的認可。此外,樂購銀行對網(wǎng)絡(luò)攻擊發(fā)生的原因與本行應(yīng)對工作進行評估,完善了欺詐交易監(jiān)測的流程及程序設(shè)計。
英國金融行為管理局認為,犯罪分子利用樂購銀行借記卡設(shè)計缺陷和金融犯罪控制團隊工作的疏忽開展網(wǎng)絡(luò)攻擊,在此過程中,樂購銀行違反了《2000年金融服務(wù)與市場法》,違背了消費者保護、保護與加強金融市場完整性的兩大要旨。此外,根據(jù)英國金融行為管理局發(fā)布的《決定程序和懲罰手冊》(Decision Procedure and Penalties Manual)規(guī)定,商業(yè)銀行必須以盡職、謹慎和勤勉的態(tài)度來開展業(yè)務(wù),保護其客戶免受金融犯罪的侵害。據(jù)此,英國金融行為管理局對樂購銀行作出罰款的處罰。
英國金融行為管理局根據(jù)《決定程序和懲罰手冊》,通過違法利益收繳、違法嚴重性評估、引入減輕和加重因素三個步驟,計算和決定罰單金額的適當水平。
第一步,違法利益收繳。監(jiān)管當局首先要收繳金融機構(gòu)從直接違反相關(guān)規(guī)定的行為中獲得的收益。在該步驟的評估中,樂購銀行獲益的金額為零。
第二步,違法嚴重性的評估。英國金融行為管理局指出,違法嚴重性是根據(jù)金融機構(gòu)在違規(guī)行為期間相關(guān)的業(yè)務(wù)或產(chǎn)品對消費者帶來的損害以及風(fēng)險進行衡量。英國金融行為管理局認為,樂購銀行案中的違法嚴重性應(yīng)按照網(wǎng)絡(luò)攻擊期間平均每個現(xiàn)金賬戶承受的風(fēng)險金額進行計算,具體時間從2014年6月1日(樂購銀行開始發(fā)行借記卡)到2016年11月9日(樂購銀行開始恢復(fù)正常操作)。通過分時期、分階段進行計算,處罰金額總計3356萬英鎊。
第三步,引入減輕和加重因素。英國金融行為管理局認為,不存在要加重處罰的因素,并將以下因素列為減輕處罰的因素:一是樂購銀行積極配合監(jiān)管調(diào)查;二是在網(wǎng)絡(luò)攻擊發(fā)生之后,立即啟動對本行管理的第三方評估,并根據(jù)評估情況進行了整改;三是對金融犯罪控制團隊加大資源投入,擴充隊伍并開展培訓(xùn);四是啟動實施消費者補償方案;五是樂購銀行應(yīng)對網(wǎng)絡(luò)攻擊的措施阻止了80%欺詐交易的發(fā)生。綜上,可以對樂購銀行減輕處罰,處罰金額降低至2343萬英鎊。鑒于樂購銀行配合英國金融行為管理局的監(jiān)管調(diào)查并盡快提出了解決方案,可以進一步降低處罰,最終英國金融行為管理局對樂購銀行因違反《決定程序和懲罰手冊》而課以處罰的總金額為1640萬英鎊。
1.強調(diào)金融消費者保護。英國金融行為管理局從成立之初,就一直強調(diào)“消費者是監(jiān)管核心”的理念,在所有的監(jiān)管環(huán)節(jié)中始終將金融消費者保護置于最重要的位置。在樂購銀行遭受網(wǎng)絡(luò)攻擊后,英國金融行為管理局經(jīng)過歷時兩年的調(diào)查,作出了相關(guān)的處罰決定,樂購銀行不僅要繳納相應(yīng)的罰金,還要補償消費者226萬英鎊,這一處罰體現(xiàn)了英國金融行為管理局堅持金融消費者權(quán)益至上的理念。
2.加大對違規(guī)行為本身的處罰。在整個網(wǎng)絡(luò)攻擊事件中,樂購銀行內(nèi)部控制與合規(guī)風(fēng)險管理暴露出較多的問題。英國金融行為管理局對樂購銀行的處罰主要基于以下幾點:金融產(chǎn)品設(shè)計存在缺陷,對消費者利益保護不足,忽視對網(wǎng)絡(luò)攻擊的預(yù)警,應(yīng)對攻擊事件不當。這反映了在涉及到風(fēng)險管理方面,英國金融行為管理局更注重對商業(yè)銀行違規(guī)行為的處罰,而不是僅僅考慮攻擊事件的最終結(jié)果以及金融消費者是否得到了合理的補償。
3.重視商業(yè)銀行內(nèi)部控制機制建設(shè)及執(zhí)行。英國金融行為管理局對樂購集團的風(fēng)險管理框架、董事會對金融犯罪的防控、銀行合規(guī)風(fēng)險管理三道防線的運行進行審查,認為樂購銀行的金融犯罪治理框架是清晰的,每一項機制在框架內(nèi)都有獨特的職責(zé),為降低樂購銀行所面臨的金融犯罪風(fēng)險發(fā)揮了有效作用。但是,樂購銀行在應(yīng)對網(wǎng)絡(luò)攻擊過程中,有關(guān)的負責(zé)人和管理人員未能以專業(yè)、謹慎和勤勉的方式履行職責(zé),沒有采取適當?shù)拇胧┚忈屨诎l(fā)生的網(wǎng)絡(luò)犯罪風(fēng)險、確保網(wǎng)絡(luò)犯罪帶來的影響得到較好的控制。英國金融行為管理局指出,樂購銀行雖然內(nèi)部控制機制架構(gòu)健全,但是在機制運行方面卻存在較為嚴重的問題,這也是英國金融行為管理局對樂購銀行進行處罰的主要原由所在。
金融與互聯(lián)網(wǎng)的深度融合使得網(wǎng)絡(luò)攻擊可能發(fā)生在任何場景之中。若商業(yè)銀行采用的互聯(lián)網(wǎng)技術(shù)未能與業(yè)務(wù)發(fā)展需要相匹配,犯罪分子便可能會利用銀行的管理漏洞從事違法犯罪行為。在英國樂購銀行網(wǎng)絡(luò)攻擊案件中,犯罪分子發(fā)現(xiàn)樂購銀行借記卡的編號漏洞,于是利用云計算模式展開網(wǎng)絡(luò)攻擊,通過偽造欺詐交易以圖獲利。這一網(wǎng)絡(luò)攻擊事件凸顯了樂購銀行在合規(guī)風(fēng)險識別和評估上的缺陷。
合規(guī)風(fēng)險的識別與評估是合規(guī)風(fēng)險管理的前提和基礎(chǔ)。英國金融行為管理局指出,樂購銀行合規(guī)風(fēng)險管理的失職之處主要在于,收到國際銀行卡組織發(fā)出的警報后,并未采取及時、有效的行動防范可能的網(wǎng)絡(luò)攻擊。如果樂購銀行積極開展合規(guī)風(fēng)險的識別與評估,就會對網(wǎng)絡(luò)環(huán)境和自身狀況有更加清晰、明確的認識,及時采取措施加強風(fēng)險管理、避免網(wǎng)絡(luò)攻擊的發(fā)生。
綜上所述,小學(xué)階段是學(xué)生思維能力過渡發(fā)展的重要階段,所以在小學(xué)教學(xué)中,教師應(yīng)該把抽象復(fù)雜的教學(xué)知識具體形象化,隨著社會信息化進程的不斷加快,現(xiàn)代信息技術(shù)已經(jīng)滲透到各個行業(yè),在此時代背景下,小學(xué)教學(xué)也應(yīng)該與時俱進,積極改革教學(xué)技術(shù),以充分滿足小學(xué)教學(xué)的實際需要,而信息化教學(xué)資源為廣大師生提供了豐富的教學(xué)資源,不僅充分體現(xiàn)了新課改的教學(xué)理念,還確保了課堂教學(xué)活動的豐富性和趣味性,顯著提升了小學(xué)教學(xué)水平,增強了學(xué)生的綜合素養(yǎng)。
外部風(fēng)險沖擊事件往往致使商業(yè)銀行遭受聲譽損失以及來自監(jiān)管部門的懲罰。為逃避責(zé)任,有的商業(yè)銀行管理層會對風(fēng)險事件加以掩蓋。樂購銀行在網(wǎng)絡(luò)攻擊發(fā)生之后,立即聘請第三方開展內(nèi)部控制評估、進行內(nèi)部整改,及時停止異常交易,防止消費者損失進一步擴大。對已造成的損失,樂購銀行在清查之后對消費者進行了全面的補償。此外,樂購銀行始終保持與監(jiān)管當局的良好溝通,最終與英國金融行為管理局達成和解協(xié)議,英國金融行為管理局減輕了對該行的處罰力度。盡職維護金融消費者權(quán)益,加強與監(jiān)管當局的溝通,積極配合監(jiān)管當局開展整改,是商業(yè)銀行合規(guī)風(fēng)險管理的必要舉措。
應(yīng)對網(wǎng)絡(luò)安全風(fēng)險,必須在公司治理層面建立統(tǒng)一的網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理框架,對每個業(yè)務(wù)部門的職責(zé)加以明確劃分、配置適當?shù)馁Y源以確保各個條線、部門、崗位盡職履行合規(guī)風(fēng)險管理職責(zé)。英國金融行為管理局經(jīng)評估指出,樂購銀行的網(wǎng)絡(luò)安全治理框架是合適的,但合規(guī)風(fēng)險管理的具體執(zhí)行過程中出現(xiàn)了較為嚴重的問題,內(nèi)部管理缺失,相關(guān)工作人員既缺乏專業(yè)化知識應(yīng)對網(wǎng)絡(luò)風(fēng)險事件,也沒有以謹慎和勤勉的態(tài)度履行職責(zé),這是導(dǎo)致網(wǎng)絡(luò)攻擊事件發(fā)生的根源。由此可見,維護網(wǎng)絡(luò)安全,商業(yè)銀行必須加強內(nèi)部控制體系建設(shè)并保障其合理、順暢運行,方能切實發(fā)揮網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理框架的作用、實現(xiàn)風(fēng)險防控的目標。
從國內(nèi)情況看,當前互聯(lián)網(wǎng)信息科技與銀行業(yè)務(wù)高度融合,網(wǎng)絡(luò)運營、管理和服務(wù)成為商業(yè)銀行打造核心競爭力的關(guān)鍵環(huán)節(jié),維護網(wǎng)絡(luò)安全也成為銀行合規(guī)風(fēng)險管理的重要目標。2017年6月1日生效實施的《中華人民共和國網(wǎng)絡(luò)安全法》對商業(yè)銀行網(wǎng)絡(luò)安全管理提出了更高要求。商業(yè)銀行應(yīng)當根據(jù)國家法律法規(guī)對網(wǎng)絡(luò)安全管理的最新要求,加強對網(wǎng)絡(luò)安全形勢的分析與研判,進一步提高網(wǎng)絡(luò)安全的合規(guī)風(fēng)險管理能力。
網(wǎng)絡(luò)安全屬于信息科技風(fēng)險管理范疇,是操作風(fēng)險管理的重要內(nèi)容。商業(yè)銀行在構(gòu)建合規(guī)風(fēng)險管理框架時,有必要將網(wǎng)絡(luò)安全作為信息科技風(fēng)險治理的重要目標納入其中,明確董事會、監(jiān)事會、高級管理層和相關(guān)部門的職責(zé)分工,建立多層次、相互銜接的運行機制,確保網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理體制機制的有效運行以及監(jiān)督機制作用的發(fā)揮。在公司治理層面,可以考慮成立網(wǎng)絡(luò)安全風(fēng)險治理委員會,專門負責(zé)網(wǎng)絡(luò)安全、防范網(wǎng)絡(luò)攻擊。各業(yè)務(wù)部門承擔與本部門相關(guān)的網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理職責(zé),由合規(guī)部門對業(yè)務(wù)部門履職進行監(jiān)督及檢查,由審計部門對業(yè)務(wù)部門、合規(guī)部門進行審計監(jiān)督,并且做好對影響銀行正常運營的網(wǎng)絡(luò)安全事故的跟蹤調(diào)查與審計。
在當前網(wǎng)絡(luò)安全形勢嚴峻的背景下,商業(yè)銀行有必要加大對網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理的資源投入,做到資源投入與網(wǎng)絡(luò)風(fēng)險、業(yè)務(wù)規(guī)模、管理需要等相適應(yīng)。一是要配置有關(guān)網(wǎng)絡(luò)安全防護的軟件和硬件設(shè)施,維護網(wǎng)絡(luò)及系統(tǒng)順暢運行,防范潛在的網(wǎng)絡(luò)攻擊;二是加大人力資源投入,配置專業(yè)化水平較高的網(wǎng)絡(luò)安全管理人員,妥善地管理網(wǎng)絡(luò)安全合規(guī)風(fēng)險、及時預(yù)警并發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊事件;三是定期對在崗人員進行專業(yè)化培訓(xùn),使從業(yè)人員對商業(yè)銀行面臨的網(wǎng)絡(luò)風(fēng)險具有充分的認識,能夠根據(jù)不同的情況及時采取有效的應(yīng)對措施。
一是建立網(wǎng)絡(luò)安全合規(guī)風(fēng)險定期評估制度。定期對網(wǎng)絡(luò)系統(tǒng)的信息風(fēng)險進行評估,及時更新硬件設(shè)備及操作流程以糾正信息系統(tǒng)、業(yè)務(wù)流程與內(nèi)部控制措施的偏離。盡管大部分商業(yè)銀行對網(wǎng)絡(luò)安全的重視程度不斷提高,但有的商業(yè)銀行仍然缺乏有效應(yīng)對網(wǎng)絡(luò)安全漏洞的管理與修復(fù)機制,這便給網(wǎng)絡(luò)攻擊者提供了可乘之機。合規(guī)風(fēng)險管理部門在開展網(wǎng)絡(luò)安全合規(guī)風(fēng)險評估的過程中,要著重關(guān)注網(wǎng)絡(luò)安全漏洞的修復(fù)與管理,盡早將可能的風(fēng)險隱患識別出來。二是根據(jù)風(fēng)險評估情況開展定期的周期性滲透測試和漏洞評估。通過系統(tǒng)掃描結(jié)果和風(fēng)險評估結(jié)果,對網(wǎng)絡(luò)安全漏洞逐一進行辨認和排查,做好信息系統(tǒng)的合規(guī)風(fēng)險審查。三是建立網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對機制。當網(wǎng)絡(luò)安全事件影響信息系統(tǒng)的保密性、完整性以及金融機構(gòu)的正常運營時,立即進行響應(yīng)并快速評估信息系統(tǒng)的受損情況,進而對系統(tǒng)加以修復(fù)和完善。合規(guī)風(fēng)險管理部門要從風(fēng)險評估機制、控制措施及安全事件的應(yīng)對機制等方面開展監(jiān)督和檢查,督促業(yè)務(wù)部門加強和完善網(wǎng)絡(luò)安全合規(guī)風(fēng)險管理。
一是加強對網(wǎng)絡(luò)安全事件的監(jiān)測和檢查,建立健全監(jiān)察制度并安排專人負責(zé)該項任務(wù)。二是完善網(wǎng)絡(luò)安全管理制度,制定訪問權(quán)限、應(yīng)用程序安全審查、特定情形的復(fù)合因素認證要求、數(shù)據(jù)保存等網(wǎng)絡(luò)安全控制程序,增加保密和認證環(huán)節(jié),提高網(wǎng)絡(luò)系統(tǒng)的保密性和安全性。三是對已識別或者監(jiān)測到的網(wǎng)絡(luò)安全事件進行快速回應(yīng),第一時間采取有效措施控制風(fēng)險因子,隔絕風(fēng)險源,緩釋風(fēng)險點帶來的損害,降低網(wǎng)絡(luò)安全事件帶來的不良影響程度。
一是落實金融消費者保護機制。當網(wǎng)絡(luò)攻擊事件發(fā)生后,商業(yè)銀行要重視金融消費者權(quán)益保護,盡快清查消費者遭受的損失并進行合理賠償。這既是商業(yè)銀行合規(guī)風(fēng)險管理的必然要求,也是商業(yè)銀行承擔社會責(zé)任的重要內(nèi)容。但從實際情形來看,有的商業(yè)銀行并沒有積極落實金融消費者保護機制,在網(wǎng)絡(luò)安全事件發(fā)生時,對金融消費者權(quán)益的保護有所忽視,致使消費者蒙受損失。二是落實整改責(zé)任機制。通過排查、整改內(nèi)部控制中存在的問題,提高風(fēng)險管理水平,能夠避免合規(guī)風(fēng)險事件的再次發(fā)生。商業(yè)銀行應(yīng)當對存在網(wǎng)絡(luò)安全合規(guī)風(fēng)險的業(yè)務(wù)流程及制度缺陷進行及時的改造,彌補管理上的漏洞,切實發(fā)揮合規(guī)管理機制的風(fēng)險防控功能。
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號
北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市海淀區(qū)西禪寺(華北項目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
站點地圖 網(wǎng)站建設(shè):騰虎網(wǎng)絡(luò)
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢