《科技风险管理及电子银行业务的监管课件》由会员分享,可在线阅读,更多相关《科技风险管理及电子银行业务的监管课件(51页珍藏版)》请在金锄头文库上搜索。
1、,银行监管高层研讨班科技风险管理及电子银行业务的监管,2,大纲,近期香港电子银行发展状况 金管局就电子银行与科技风险管理的监管架构 保安事故与诈骗事件简介 欺诈电子邮件/伪冒网站与 特洛伊木马程序示范,3,近期香港电子银行发展状况,4,香港网上银行的发展,提供网上银行服务的银行: 56 家银行 约占银行体系92%的客户存款总额与80%的资产总值 (已扣除准备金) 6 家银行透过流动电话或PDA (个人数码助理或个人电子手帐) 提供流动电话理财服务 宽带上网登记用户: 约有188万个(截至 2007年12月) (资料来源:电讯管理局),5,网上理财户口的增长,网上理财户口数目,1.1m,1.6m
2、,1.8m,2.2m,2.5m,2.8m,3k,31k,46k,67k,87k,108k,3.0m,131k,3.3m,162k,3.6m,208k,3.8m,234k,4.4m,266k,4.9m,307k,6,网上银行发展个人户口,7,网上银行发展工商企业户口,8,挑战与风险,9,电子银行风险与技术风险,使用互联网作为新型的银行服务管道将在某种程度上改变银行的风险形态,并且对银行的风险控制提出新的挑战 与电子银行相关的基本风险类型可能没有大的变化,但风险产生的具体方式,以及潜在风险规模和对银行的影响速度,对于银行管理和银行监管提出新的课题 除了战略风险外,操作风险、技术风险、信誉风险、法律
3、风险,信用与资产流动性风险都需要考虑,10,香港网上银行诈骗,香港的银行欺诈电邮和伪冒网站个案数目从2003年的8宗大幅增加至2004年的34宗,之后个案数目才减少,但近年又有上升的趋势:,于2004年9月发生第一宗有金钱损失的个案, 26名受害人共损失140万港元,2003年 - 8宗 2004年 - 34宗 2005年 - 25宗 2006年 - 17宗 2007年 - 27宗 2008年 3宗 (至2月),欺诈电邮和伪冒网站个案数目,(至2月),11,监管架构,电子银行与科技风险管理规管架构:,12,政策与指引,政策与指引,基础,电子银行与科技风险管理规管架构:,13,政策与指引,科技风
4、险管理、电子银行 科技风险管理的一般原则建议文件 电子银行的监管建议文件 伪冒网站及欺诈电邮指引及通告 绝不会透过电邮询问客户的敏感数据 提供方法使客户能确保与真正的银行网站通讯 定期寻找互联网上可疑的伪冒网站 持续业务运作 持续业务运作规划建议文件 有关流感大爆发的防备工作之现场审查结果之通告 http:/www.info.gov.hk/hkma/eng/bank/spma/index.htm http:/www.info.gov.hk/hkma/eng/guide/index.htm,14,双重认证,于2004年6月向银行发出指引要求各银行在2005年6月底前推出双重认证的身分核实方法 强
5、制所有高风险的个人网上银行交易必须使用双重认证身分核实,不使用双重认证的市民将不能进行高风险的网上银行交易,15,为什么使用双重认证,为什么需要双重认证? 用户名称和密码保安程度不足够 出现利用欺诈电邮,伪冒网站,计算机病毒和特洛伊木马程序等盗取用户名称和密码的案例 什么是双重认证?,例如: 用户名称和密码,例如: 电子证书,保安编码器或手提电话,窃贼不能经互联网遥远盗取用户拥有的工具,所以明显更为安全,你已知的资料,你拥有的工具,16,由保安编码器发出 只可使用一次的密码,电子证书,通过手机短讯发出 只可使用一次的密码,双重认证方法的例子,Security Token,17,最新发展,直至2
6、007年中,有32间银行已经推行双重认证于高风险的零售网上银行交易,18,最新发展,约有160万零售网上银行户口已登记使用双重认证,19,认知与培训,认知与培训,基础,电子银行与科技风险管理规管架构:,20,认知与培训,内部培训 在推行现场科技审查前,提供培训予电子银行专责小组及一般银行监管职员 通过刊物与工作坊为一般银行监管职员提供定期培训 银行业 在发布信息科技风险、持续业务运作规划及电子银行监管指引前,与银行业进行正式/非正式咨询 举办各种研讨会 (例如:最新科技犯案行骗手法、流感的紧急措施) 以提高银行业的认知 消费者教育 积极参与香港银行公会之电子银行小组,跟业界合作提供公众网上银行
7、安全教育,21,持续监察与审查,持续监察与审查,基础,电子银行与科技风险管理规管架构:,22,持续监察与审查,2002年开始推行现场审查计划 至今已进行约200项这类审查 制定科技风险状况分析制度 已完成约90多家银行或有关机构的科技风险状况分析,23,现场审查流程,检视科技风险状况 挑选银行,落实审查范围 及时间表,进行现场审查,完成审查项目清单 及编制审查结果,审阅审查项目清单 及审查结果,审阅整体风险状况 及 风险管理评级,审阅报告初稿,跟进审查结果,审查前的准备工作,更新科技风险状况,现场审查,准备阶段,审查结果及报告,整体评级及跟进结果,24,监管控制自我评估,基础,电子银行与科技风
8、险管理规管架构:,25,监管控制自我评估,协助金管局安排监管资源的优先次序,并充分涵盖各主要银行 已经向香港61家银行推出自我评估计划 取得正面响应,包括:,协助银行管理层安排资源运用的优先次序,以集中处理高风险事项 共享制定基准的数据及就共同关注的事项交换信息 采用自动化设施,减少重复输入的工序,26,示意评估结果及报表,27,示意评估结果及报表 (续),28,示意评估结果及报表 (续),29,示意评估结果及报表 (续),30,国际合作,国际合作,基础,电子银行与科技风险管理规管架构:,31,国际合作,由于电子银行诈骗活动跨越国界,金管局已积极参予国际银行监管机构科技监管小组:,制定最新联络
9、名单,以加快小组成员互通消息,从而更有效地处理跨境电子银行事故 定期参与会议讨论有关电子银行监管的课题及最新的电子银行诈骗手法,32,保安事故与诈骗事件简介,33,个案 1:伪冒网站,可疑的银行网站: “”,34,个案 1:伪冒网站,2003年6月,金管局收到超过14项有关“Banquedenationale Bank”的查询,这个网站 “”,自称是在香港、纽约和伦敦均设有办事处的银行 初步结论可能违反银行业条例,并且怀疑是伪冒网站 向香港警务处举报以便进行调查 与美国和英国监管机构确定 “Banquedenationale Bank” 并未获得任何认可或银行业牌照 在2003年6月19日发出
10、新闻稿,提高香港市民对伪冒网站的警觉,35,个案 2:欺诈电邮连接伪冒网站,36,个案 2 : 伪冒网站的登入网页,所显示的网站地址: ,真实的网站地址: 211.239.150.170/login/login.htm,伪冒网站显示正确的银行网站地址,伪装扣锁,伪冒证书,37,个案 3:特洛伊木马程序,真实个案 - 三井住友银行 日期: 2005年3月 计划利用特洛伊木马程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元) 诈骗手法: 犯罪集团利用特洛伊木马程序来套取用户所按过的键,以窃取其登入姓名和密码 意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警,以色列警方
11、逮捕其中一个疑犯 怀疑银行内部有职员协助犯罪集团安装特洛伊木马程序或由黑客将特洛伊木马程序从外面安装到银行网络,38,个案 3 :特洛伊木马程序,互联网,特洛伊木马程序,计算机窃贼,透过互联网把特洛伊木马(如按键录取程序、荧幕录取程序) 植入受害人的个人计算机内,连接网上 银行网站,特洛伊木马,已安装特洛伊木马,但受害人 全然不知,39,个案 3:特洛伊木马程序,互联网,ABC 网上银行服务,ABC 银行,计算机窃贼,计算机窃贼登入受害人的账户,电子银行交易 受害人的银行账户 计算机窃贼的银行账户,40,个案 4 : 十万网上户口资料被窃取,41,个案 5 : 修改”host”档案连结到伪冒网
12、站,于二零零四年十一月攻击三间巴西银行- Caixa, Unibanco 和 Bradesco 特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案 受害者输入正确的银行网站地址但连结到伪冒的网站,用户输入正确的银行网站地址,Internet (IP) address of fake website,以修改的host档案翻译正确的银行网站地址成为伪冒网站的IP地址,使用者连结到伪冒网站,42,个案 6:网上交易系统诈骗事件,真实个案 - E-Trade Securities 与 TD Waterhouse 日期: 2006年10月 电脑窃贼入侵E-Trade Securities
13、与 TD Waterhouse客人户口,并利用 抬 高 股 价 , 趁 高 出 货 ( pump-and-dump )的手法导致2千2百万美元损失 诈骗手法: 东欧及亚洲的黑客利用特洛伊木马程序于受害者的电脑中安装键盘侧录程序,并于受害者登入账户时盗取其资料 黑客接着以受害者的户口买入一些冷门股,炒高股价后再沽出黑客先前买下的股票套利 E-Trade 与 TD Waterhouse合共花费2千2百万美元以补偿客户的损失,43,个案 7 : MarketScore proxy 服务,声称可以增加互联网的联机速度及得到使用者的同意搜集其数据 以“中间人”技术于proxy服务器解读经SSL加密的敏感
14、信息(例如密码) proxy服务器发出的电子证书加密使用者与proxy服务器之间传送的数据 银行的电子证书加密Proxy服务器与银行之间传送的数据,44,个案 8 : 中间人技术,黑客,客户进行网上银行户口转帐 入账户口: 123456-111 金额: $100,银行系统确认交易信息 入账户口: 987656-222 金额: $9000,黑客中途拦截网银交易信息,更改交易指令 入账户口: 123456-111 987656-222 金额: $100 $9000,黑客中途拦截及更改银行系统确认交易信息,使银行客户不察觉交易指令已被更改 入账户口: 987656-222 123456-111 金额
15、: $9000 $100,银行客户,银行计算机系统,45,个案 9 : 美国信用咭资料外泄事件,一家受雇于美国多间银行的信用咭交易处理中心(CardSystems)于2005年6月被黑客盗取了多名持咭人的资料, 而该类资料更可被用作欺诈性的交易。 原因: 违反信息保安标准 敏感的持咭人数据于完成授权过程后错误地保留在处理中心 没有将资料加密, 作为特殊的商业, 法律及监管用途 保安管理不足以防止黑客入侵 约12,000张由香港银行所发出的信用咭受影响 香港的持咭人没有金钱上的损失,46,美国Visa及MasterCard的交易流程,47,事件引起的回响,事件指出以下项目的重要性 对外判的服务供
16、货商, 特别是信息保安, 应有充分的管理 制订有效的评估去防止日益增加的黑客入侵风险 制订有效的政策及程序, 去保护, 贮存及加密客人的数据 金管局的评估/行动 信息科技外判, 网上银行的监察及科技风险管理的指引 要求各银行再次评估其对于客户数据保安, 贮存及保密的内部及外判活动的充分性及有效性 监管控制自我评估及现场审查计划,48,个案 10 : 美国TJX公司4500万顾客资料被盗窃,全球零售业巨头TJX公司于2007年3月承认,在过去一年半时间内,公司的系统遭到黑客多次侵袭,导致超过4500万的顾客之信用卡资料被盗去。 相信黑客是利用TJX无线网络(W-Fi)的保安不足, 通过连接无线电接收器的手提电脑,偷偷窥察TJX网络的敏感数据(如网络登入名称及密码),然后侵入TJX的系统盗取顾客数据。 部份的顾客信用卡资料更被放上互联网公开发售,每张信用卡的资料为$20至$100美元 (视乎信用卡的信用额) 。 相信部分的信用卡已被用作欺诈性的交易。 估计TJX公
