防范电子银行支付风险对策探析,本文主要内容关键词为:探析论文,对策论文,风险论文,银行论文,电子论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
以网上银行、电话银行、手机银行、自助银行、网上证券、网上保险为代表的新型银行服务方式,为广大用户带来了方便和新的服务体验。尽管U盾、电子证书以及网页的保护软件三层防护网的使用,使电子银行的技术安全性得到一定的保障,但由于网络运营中包括网络钓鱼、个人信息泄露、操作失误等原因造成银行和客户损失的支付业务风险不断发生,由此造成的损失保守估计在2015年已达3 789亿元(中国互联网络信息中心,2016)。支付风险严重威胁着资金安全和客户使用电子银行的信心,成为制约电子银行发展的重要障碍,迫切需要解决。 一、电子银行支付业务中的风险表现 与传统柜台业务相比,电子银行支付业务具有虚拟性和广域性,既面临内部的操作风险、道德风险,还面临操作规程不科学、业务流程不合理、法规不健全引致的外部攻击风险。 (一)相关人员操作不规范引发风险 由于电子银行的很多业务都需要使用者具备一定的操作技能,如果工作人员或客户操作不规范或误操作,易造成资金损失。电子银行支付业务中的操作风险一方面源于银行工作人员在系统维护、对网络安全认知不全的情形下的误操作,因为虽然是互联网作业,但涉及支付指令的步骤还需要人工操作;另一方面源于用户的不良使用习惯,以及一些客户的安全意识不强,例如随意点击恶意网址、不能分辨虚假网站、在非法网站上下载软件从而感染病毒等。 (二)操作规程设置不科学引起风险 操作规程设置不科学主要表现在:一是签约银行的授权操作过于简单。用户只需要对授权页面的链接进行复制,并通过文件传输软件发送给他人要求“签约”,就能够在不同的电脑上实现授权。签约银行的授权普遍遵循“解铃还须系铃人”的原则,这样不能单方面解除授权,一旦发生风险就会减慢风险补救的速度,增加风险处理的难度。二是身份认证存在不同程度的漏洞。目前广泛使用的身份认证技术有USB Key、口令卡和手机绑定,它们在使用中都存在一些固有缺陷:USB Key存在未屏蔽的后门程序,生成的密钥存放于文件系统,用户的密钥可以通过USB Key管理程序被改写;用户的PIN码采用明文传输;数字证书调用没有确认机制;加解密速度慢等(刘林东、邬依林,2011)。口令卡的静态特性和重复使用性使其存在易窃取、易猜测、易破解等安全缺陷(王宏嘉,2013)。手机绑定进行身份识别方式要基于客户预留手机号的短信验证,一旦手机卡被复制或验证短信被劫持转发等情况发生,犯罪分子就可以非法控制被害人的手机银行,甚至“帮助”被害人注册开通手机银行,进行犯罪活动。从目前主流的电子支付方式看,如果用户办银行卡时有在银行预留手机号,那么只需填写银行卡号、姓名、身份证号和预留手机号就可实现银行卡的绑定,然后通过设置的支付密码就可实现消费,并不需要银行卡的密码,而姓名、身份证号、银行卡号等信息在网络上很容易泄露(徐海光2014),这为不法分子通过窃取密码、破解密码、窃听通信数据、篡改通信数据等方式假冒合法用户,以合法用户身份进入网上银行系统提供了极大的便利。 (三)业务流程不合理造成风险 业务流程不合理表现在:其一,由于加密测试不到位等原因导致业务运行缓慢的情况时有发生,2006年广州发生的许霆案就是测试不足所导致的典型例子。其二,银行缺乏对客户信息严格的技术管理措施,造成信息泄露。如由于工作需要,部分银行将客户信息存储于普通办公计算机设备,在接入互联网、报废和维修等阶段,敏感信息缺乏有效的安全控制。其三,银行缺乏健全的外包服务的安全控制措施,对外包业务人员的行为控制不严,给犯罪分子以可乘之机。例如,在一家计算机公司工作的刘某利用维护某行ATM监控系统的便利条件,从该监控系统中备份出数十万个客户的银行卡号、姓名等信息,并存入个人携带的U盘中,之后刘某以“123456”为密码,成功测试出10个客户的银行卡密码,通过伪造信用卡取现近10万元(高岩,2011)。 (四)缺乏商业道德的制约和监督引发风险 一是在利益的驱使下,银行违规使用、泄露客户信息。由于网上银行的防御系统对内部人员不起作用,如果银行内部管理制度不严,银行内部人员可以轻而易举地窃取用户信息。例如,2010年8月人民网披露,某行福州分行在未取得客户同意的情况下,擅自与福州某传媒公司签订合同,向其出售信用卡客户资料。二是不法分子的钓鱼式欺诈。不法分子通过克隆银行、电子商务、传媒等知名网站,再大量发送声称来自这些机构的欺骗性短信或电子邮件,诱使收件人登录克隆网站,骗取用户的网银或信用卡账号及口令等敏感信息。例如,2011年辽宁丹东地区某人收到欺诈短信登录网站后,用户被要求填入姓名、网银账号及密码,以确认身份。该用户由于缺乏风险防范意识,信以为真,因此泄露了重要信息,导致网银账户资金被盗(高岩,2011)。 (五)法律制度不健全引发风险 为顺应商业银行网上银行的出现与发展,我国先后颁布了一系列与之相关的法律、法规和条例文件。《网上银行业务管理暂行办法》(2001年)明确了关于网上银行业务的准入形式、准入程序;《电子签名法》(2004年)解决了什么样的电子签名才是可靠的电子签名以及可靠的电子签名与手写签名或者盖章具有同等的法律效力;《电子支付指引》(2005年)规范了银行开展电子支付业务采用的信息安全标准、技术标准、业务标准,要求银行针对不同客户在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制;《关于做好网上银行风险管理和服务的通知》(2007年)进一步对商业银行网上银行业务操作、防范网上银行风险、完善网上安全服务、增进公众网上银行安全知识等进行了规范。这些法律、法规确实为电子银行的健康发展提供了有力的支撑。但是,从内容上看立法还不够完善,很多支付业务细节问题还没有涉及,对电子银行支付操作规程和业务流程缺乏一个清晰的规定。例如,支付平台应否允许客户无限次地试密码?支付公司是否把每笔交易明细都要交给银行?支付公司是否有义务配合银行收集信息?对于因网络诈骗导致的事故的责任界定不明确,对网络犯罪的打击力度与其行为造成的损失不相符等。相关的法律缺失导致问题出现后涉及责任认定、承担、仲裁结果的执行等复杂的法律关系,增加了银行和客户在网上进行金融交易的成本。 二、电子银行支付业务的风险特征 以计算机网络技术为手段的网络银行业务具有虚拟性的特征,容易突破已有的监管体系,其风险的技术含量高、隐蔽性强,风险呈多样性、扩散速度快、风险的监管难度高等特征。 (一)虚拟化交易增加了风险产生的多样性 电子银行的交易是虚拟化的交易,模糊了交易对象,且交易不受地点及时间的限制,交易过程不透明,风险隐患分布在交易过程中的各个环节。第一,在操作层面的风险隐患有:“黑客”利用网上侦听等技术截获机密信息,恶意攻击、假冒身份、非法进入网络系统进行违法操作以干扰合法用户的正常使用,操作人员密码泄露、密码口令使用周期过长、离岗不签退等。在管理层面的风险隐患有:违反安全管理制度规定设置和配备操作岗位和操作人员,以致产生违规操作和安全隐患。第二,在技术层面的风险隐患有:信息在传输中或在存储介质中发生丢失或泄露,设备质量不能达到安全运行标准。比如计算机设备、通信环境和机房建设状况差经不住窃密和黑客攻击的考验;软件系统缺乏严密性,如对外的防火墙和网络检测存在缺陷不能有效监测防范黑客等外来风险的攻击,无法保证交易过程中交易主体的身份识别和授权、网上交易数据传输的保密性、真实性,以及保证通过网络传输信息的完整性和交易的不可否认性。随着网络银行技术的提高与客户群的加速增加,将会带来更加隐蔽、科技含量更高、更难以防范的风险。 (二)远程处理功能加快了风险的扩散速度 相比传统银行,在电子银行中流动的更多的是数字化信息与电子货币,不受时空限制的远程处理功能能够提高银行服务的覆盖面,在给电子银行提供强大技术支持的同时,也加大了支付风险的扩散速度,加大了风险的扩散面和补救成本。对传统银行来说,可以通过对纸质凭证、账簿、交易记录的检查等方式进行有效监管,降低支付风险,防止风险扩散。但是对于网络银行,对其虚拟的网络空间开展的业务进行检测则存在一定的难度。一种情况是,突发性的环境的变化如地震、火灾、水灾导致的计算机设备的损坏以及供电系统的不稳定、通信线路布线不规范、环境卫生差等引起的设备故障,对数据传输、存储及系统运行的可靠性构成威胁,导致数据信息的破坏;另一种情况是,银行计算机网络犯罪,干扰网络服务系统改变其正常的作业流程,执行无关程序使系统响应速度减慢甚至瘫痪,使合法用户无法进入计算机网络系统或不能得到相应的服务。这种虚拟空间中网络银行经营活动和业务程序混乱的扩散速度很快,破坏性大大高于单机系统,而且用户很难防范。随着网络银行技术的提高与客户群的加速增加,风险将会更加隐蔽,科技含量更高,更加难以防范。 (三)业务网络化提高了风险监管难度 对于网络银行,对其在虚拟的网络空间开展的业务进行监管其难度要大大高于传统的现场检查。一方面,监管中需增加信息安全性问题的检查,将更多的现代信息技术手段用于对计算机程序和系统的评估;另一方面,电子银行支付体系的风险是一个动态的发展过程,随着一些新系统的运行和业务操作方式的改变,新的风险点和新的风险隐患会不断出现,监管需要动态化。目前采用的网上监测的方式,即在虚拟空间检查网络银行的经营活动和业务程序,在一定程度上能实现动态监管,但也带来了另一个问题,检查组织中既有银行监管人员,技术部门与外部会计师,也包括计算机信息专家。这类社会化的技术服务人员变动频繁,具有不稳定性,给电子银行业务稳定发展留下隐患。另外,传统金融监管可以通过分业经营、提高市场准入规则、设置市场屏障或特许方式,将风险隔离在相对独立的领域,而电子银行削弱了传统银行金融监管的这些属性,使得监管的物理隔离有效性大大减弱。银行、证券、保险的业务不断交叉,同时也使得风险极易在这三个领域里交叉传染,而且金融业客户的相互渗透和交叉,使金融机构间、国家间的风险相关性日益加强。 三、对我国电子银行支付业务风险管理的建议 (一)建立规范的用人制度,降低操作失误 网络银行业务是“技术密集型”业务,对专业人员的技术要求很高,无论是失误出现前的操作还是失误造成后的补救,都需要相关人员有足够的专业知识和技术。因此,对执行网络操作和负有安全职责的人员须经过严格的筛选。监管人员不仅要具有专业化监管水平,还要有很强的敬业精神,对监管工作尽职尽责,一丝不苟。监管机构要定期组织相关人员,如金融机构CEO、CIO和信息科技管理人员举办信息科技风险例会,讲解互联网安全、银行卡网上支付风险事件等信息科技风险发展的最新形势,对金融机构进行技术辅导、风险警示,并介绍相关解决方案。对参与开发、维护、运行网站和系统的人员应该进行安全原则的系统培训,通过安全技术培训,使内部员工达到足以应付千变万化的网络风险的技术水平。要严格遵循三个网络内部安全原则:多人原则,即系统应由一个以上人员共同执行,或由一人执行后,立即由另一人进行检查;职责分配原则,即职责应该分开并由不同组别的人员执行,设置岗位轮换和安全管理职能交叉培训;访问控制原则,即必须基于职员的个人工作职责,或为履行其职责的需要的基础上去设置访问权限和系统特权。不允许同时进入生产系统和备份系统,任何人在特定时间,因为特殊原因,需接触备份档案或系统恢复资源都需经过相应的授权。 (二)加强普及性教育,提高客户的安全意识 很多情况下,风险的出现是由于用户的安全意识淡薄。应该加大宣传力度,提高个人信息保护意识,通过电视、报纸、网络等途径让更多的人了解到信息泄漏会造成的损失。金融机构要给客户提供及时的信息和持续的教育,确保客户可以获得足够的指导和信息,指导帮助他们认识和理解安全要求,知道如何以正确的步骤报告安全问题。当引入新的操作特点或功能时,特别是与安全性、完整性和真实性相关的内容,要确保用户能够正确使用这些功能。可定期在网站上以自愿或强制的形式要求用户进行相关知识的考核。金融机构应在其网站上放置对客户的隐私安全政策、客户纠纷处理、报告和决议程序、金融机构反应的预期时间、客户访问在线账户时应该采取的安全措施和合理的预防措施、如何保护他们自己的移动设备防止被盗和丢失,以及避免病毒和其他的错误软件将导致的恶意危害和有害后果等相关的教育材料。网站上应该放置一个关于解决问题或争端流程的解释,以及因为安全漏洞、客户网上账户被欺诈访问或未授权交易而使金融机构或其客户遭受损失的条件和情形的说明,以有助于客户做出理性、明智的决策。另外,定期发布《关于网络安全的公开声明》,针对新发生的安全案件提醒客户注意辨别,给出一系列的指导文件,如防范针对网络钓鱼欺诈行为的指导性文件,也是必要的。 (三)制定详尽的操作规程和严谨的业务流程,严防非法侵入系统 银行必须配备监控工具持续追踪系统表现、服务器进程、网络流量、转场持续时间和容量利用情况,以保证系统容量充足、表现可靠、反应迅速、比例可变以及快速恢复能力。为确保系统服务的有效性,要求银行对相关系统要定期检查、升级、测试事件响应程度、灾难恢复和业务连续性准备。为保证系统的自我恢复能力,金融机构应配备高水平的信息技术基础设施;金融机构应制定一个框架和流程来识别关键系统,并采取措施确保关键系统的可用性;一旦遇到故障停机,必须在可控时间内恢复系统;应对达成恢复目标的时间、过程进行验证和记录。 要强化业务流程中关键控制环节的安全性和可审计性,及时发现系统和流程中的漏洞,降低其暴露的可能性。不断探索网上银行产品的创新和安全模式的改善。银行应在网上银行的页面和用户开通相关业务前明确双方权利、义务和争端的解决机制,规范银行从业人员的行为,同时也让用户了解自己的责任与义务。针对用户信息易遭受盗窃问题,建议推广使用动态口令认证系统,把密钥生成和管理完全交给系统自动完成,可以最大限度地减少人为因素,有效地防止内部人员作案,使系统安全防范对内对外同样坚固。推广实行客户对使用的网上银行及其服务质量进行评估,倡导社会公开监督,鼓励公众对银行的经营和服务进行监督。同时鼓励人们举报相关案例,谨防不法分子投机取巧。 (四)构建支付安全保障体系 首先,为打击利用网络的金融犯罪行为,对现有法律不适应网络支付业务发展实践的部分应进行修订和补充,对计算机犯罪、计算机泄露、窃取商业和金融机密等要有相应的法律制裁,逐步形成有法律许可、法律保障和法律约束的法制环境。不仅可以从刑法的角度对犯罪行为进行严惩,在民法方面也可以进一步界定。对产生的风险应根据不同情况按不同的法律原则承担民事责任。同时要完善整个电子银行监管体系,借鉴新加坡及发达国家电子银行监管的相关制度,尽快制定一整套针对我国电子银行支付风险的管理指引、管理条例和公告等,以加强对商业银行在网上银行操作风险、信誉风险和法律制度风险管理等各方面的指导,树立全面风险管理的意识。此外,要对未来发展情况进行预测,分析可能出现的问题,进行先行立法保护。其次,实施事故监测和报告制度。银行内部在处理安全事故时,应及时向主管机关报告,包括监察部门、风险防御部门以及公安系统。从用户一级开始,发现账户存在异常时,按银行的提示向其报告并提供相关的资料,银行首先中止相关操作,审核确认后通过互联网链接向公安机关直接发送报告,做到及时、便捷。最后,针对用户数据的全网一体化,应加快建立完善的社会信用制度。对用户的信用情况进行评级并将等级较差的用户公示甚至是列入黑名单,相对保证其他用户的顺利操作和账户安全。强化银行从业人员的责任心和职业道德,加大对买卖他人信息的打击力度,给不法分子以震慑力。 (五)强化公众监督,防范银行道德风险 金融机构应在客户订购网上金融服务前,向其提供关于使用该服务的风险和益处。客户应被清楚明确地告知自己和金融机构各自的关于网上交易所有事项的权利、义务、责任和争议解决程序,特别是在处理操作错误和安全漏洞时可能出现的任何问题。相关信息应该以友好的方式向客户提供,并及时更新。《指引》要求在安全事件或纠纷发生后,银行应该以最及时、谨慎的态度公告缓解措施。要求客户对使用的网上银行及其服务质量进行评估。促进与客户和相关媒体的互动,及时解答相关疑问。应及时回复、及时沟通,确保政策被完整表达、正确实施。标签:电子银行论文; 银行论文; 银行监管论文; 银行风险论文; 技术风险论文; 交易风险论文; 网上银行业务论文; 交易银行论文; 银行系统论文; 电子银行口令卡论文; 支付安全论文; 金融论文; 信息安全论文; 网络安全论文;