黟县农合行电子银行业务风险防控徐飞君.ppt

安徽黟县农村合作银行 ANHUI YIXIAN RURAL COOPERATIVE BANK,信息科技与电子银行业务 风险防控,电子银行部 徐飞君 二0一一年五月,信息科技与电子银行业务发展现状,全省数据大集中，主机和系统的压力也越集中 综合业务系统和其他信息子系统不断丰富 业务对信息科技的依赖性越来越强 信息科技地位和受关注程度越来越高 信息科技风险也日益积聚,信息科技与电子银行业务发展现状,银行卡发卡量逐年递增 ATM机网点覆盖率不断扩大 POS收单业务遍布城乡 网上银行业务替代柜面传统业务的替代率逐年增加 电子银行业务的风险面也越来越广,信息科技风险的概况,IT风险是指在对信息科技的运用过程中，由于自然因素、人为因素、技术漏洞、管理缺陷产生的操作风险、法律和声誉等风险。 特点：风险发生时影响较大 风险出现具有不确定性 对风险的估计或防范手段不足 对其他风险具有传导性 涉及面广、机会性大、隐蔽性强、集中性强，没有纳入日常管理内容。,信息科技风险的概况,案例：2010年，某大型银行一分行，提交50000笔代发工资业务，随即又进行取消操作，导致改行计算机系统停止服务20小时，该分行行长被调离岗位，科技部门负责人受到处分。 分析：数据修改、批量代发、中间业务等，业务对科技风险具有传导性。 措施：严格操作管理，对批量业务事先做好准备工作。,系统技术漏洞风险,银行核心业务系统由于其独特的操作系统和独立的系统架构，与外网绝对的物理隔离，一般来说是相对安全的。由于系统技术漏洞的存在，势必给不法份子有机可乘。信息技术的不断进步，引发了新的、更多形式的安全威胁手段与途径，存在安全隐患，导致恶意攻击风险不断，黑客入侵、钓鱼网站层出不穷，很可能会造成客户信息及资金失窃，银行也造成巨大的声誉损失。,系统技术漏洞风险,案例： 2004年，某大学生非法入侵合肥多家银行的计算机盗取客户资料，并公布于互联网上，对银行声誉产生了很大影响，该案是公安部成立网监部门后破获的第一起案件，该犯罪嫌疑人被判处2年徒刑。 某银行员工，采用拨号接入方式，在家中登陆业务系统，非法窃取资金500多万。,系统技术漏洞风险,防控措施： 核心系统必须严格管理，制定完善的制度，系统安全可采取口令、防火墙、编码技术等技术措施，积极引进一些高效的安全产品和安全技术，及时更新、升级防病毒软件和防火墙，提高计算机系统抵御外部网络攻击和抗病毒侵扰的能力，增强系统的保密性和完整性。专机专用，内外网物理分离，严禁混接，不在可以上外网机器中存放敏感、涉密信息。,计算机硬件及运行环境风险,计算机硬件及运行环境风险指的是计算机管理人员对计算机实体及其运行的环境管理不到为而造成的风险。 计算机实体安全：资源管理、数据冗余、防盗、变更、维护 机房基础设施：防火、防水、温控、冗余 机房出入管理：门禁、登记、陪同、监控,计算机硬件及运行环境风险,防控措施： 计算机管理人员要设立A、B岗，所有的计算机设备要有备份，要有足够的冗余。制定计算机机房管理制度，定期检查机房的设备运行状况、做好防火、防水以及温控工作，要有24小时监控以防被盗，其他人员进入要有专人陪同，并做好登记。,银行卡风险,银行卡风险是指在银行卡使用过程当中产生的一系列的风险。 信用卡风险：信用风险、操作风险、交易风险、欺诈风险 借记卡风险：欺诈风险、中介机构交易风险、内部操作风险 借记卡风险较低，主要是管理责任，包括：反洗钱、受理环境保障、风险提示等,银行卡风险,在各类银行卡风险中，外部欺诈风险是目前最严重、危害最大的一类风险。 欺诈目的的实现渠道主要有三种：ATM机取现、POS机套现（消费）或网络（电话）转账。 从欺诈的手段看，主要是伪卡欺诈、直接骗取客户资金和利用ATM机骗卡三类。,银行卡风险,案例： 2010年7月23日，公安机关立案侦查了王某某涉嫌信用卡诈骗案。经查， 2008年8月，王某某冒用其朋友左某父母的身份证办理了中信银行信用卡两张、光大银行信用卡两张、农业银行信用卡一张，分别套取现金9075.04元、18000元和3951.04元，经银行多次催收其拒不还款。现犯罪嫌疑人王某某已被抓获。,银行卡风险,防控措施： 加强客户身份的真实性审核，关注银行卡制作及发放流程，信用额度的合理把控，密切关注银行卡业务的交易监测，发现问题及时处理。对客户要进行必要的风险提示，保护好自己的卡片和密码。,自助设备风险,案例： 2008年4月12日晚，一持卡人发现张家口市某银行ATM键盘左侧粘贴一张“用卡安全提示”，遂立即向该行举报。经该行工作人员查看，发现ATM操作键盘左侧粘贴了非法的“安全提示”，ATM出钞口被堵死，且在ATM上粘贴了冒用该行名义的提示牌，提示牌上面留有假的客服电话。该行对全市所有ATM进行检查，发现有一个支行ATM也出现同样的情况。有一名持卡人报案，损失19955元。,自助设备风险,防控措施： 加强ATM环境巡查，ATM机周边的用卡环境是否安全、有无张贴不法广告、ATM机出钞口有无异物、摄像头有无被堵塞、密码键盘上方和出卡口有无海绵或干胶痕迹。 ATM机管理人员要认真地检查摄像机摄录和回放是否正常，ATM机故障维修或升级必须清机退钞，在有本行工作人员的监督下进行 。,POS收单业务风险,POS收单业务风险主要是指特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的风险。 POS收单业务风险主要体现为两类：一类是部分不法商户提供信用卡套现交易，为犯罪目的实现提供了渠道，引发交易风险；另一类是中介机构或者个人不规范（甚至是非法）的信用卡营销行为引发收单业务风险。,POS收单业务风险,案例：2010年3月24日，公安机关立案侦办了万某某涉嫌非法经营案。经查，犯罪嫌疑人万某某利用自己注册的旭海五金电器商行在银行申领pos机，打着信用咨询、信用服务、信用卡理财等名义公开在商情周刊、精品导报、青年报等报纸、杂志上刊登“信用卡套现、信用卡代还、办理信用卡、POS机”广告信息，为信用卡持卡人大量套现、代还，按1%-2%收取手续费谋取非法利润，涉及金额150余万元。办案民警在搜查中共查获POS机6部，各种银行信用卡40余张。,POS收单业务风险,防控措施： 商户入网要专人负责，严格审查“三证一表”，进行实地调查，经营活动必须符合实际情况。建立POS机具设备档案，加强商户日常管理，建立定期巡查制度，防止POS机具挪为他用从事非法套现活动。注重监测商户POS交易量，交易频繁与实际经营活动严重不符的、长期没有交易量突然有大额交易的要密切关注，以防从事非法洗钱活动和非法套现活动。,网上银行风险,网上银行是通过外网登录的，势必给不法份子有机可乘，存在安全隐患，导致恶意攻击风险不断，黑客入侵、钓鱼网站层出不穷，很可能会造成客户信息及资金失窃，银行也造成巨大的声誉损失。,网上银行风险,典型案例： 1月13日下午5点45分左右，南京市民许先生正准备下班，突然收到一条手机短信：“尊敬的网银用户，你的中行E令将于次日过期，请尽快登录WWW.BOCVK.COM。进行升级，给您带来不便请谅解，详询95566(中国银行)。”巧的是，许先生正是中国银行的网上银行用户，而且，很多银行平时常发短信提示用户办理各项业务，所以，看到这条短信后，许先生虽然发现来自一个陌生手机，但他并没产生怀疑，在拨打中国银行95566客服电话发现占线后，他顾不得多想，利用办公室电脑，根据短信提示登录所谓“中国银行”的网址WWW.BOCVK.COM.。网页打开后，许先生看到，显示的界面正是“中国银行”，他根据网页提示，输入自己的用户名、密码以及随机产生的中行E令(动态口令)、身份证号等信息后，页面显示升级成功。看到这儿，他放心地退出界面，可没一会儿，当再次登录自己的中行网银账户时，许先生发现账户上的101万元已被转走。,网上银行风险,防控措施： 开办网上银行服务时，通过培训手册、宣传折页、网站公布等形式对用户进行安全知识教育和风险提示，设置专门的用户体验区，指导用户完成第一次交易，明确数字证书、口令的重要性。告诫客户不要在公共场合进行任何网银操作，谨记银行提供的网银地址和客服热线，不要亲信陌生号码发的短信提醒，更不要向陌生人转账汇款。,内部操作风险,内部操作风险是指银行工作人员违规操作或操作失误造成银行资金损失，或者工作人员利用职务之便，与不法分子勾结、串通作案，引起发卡行或客户资金损失的风险。 与外部欺诈风险和中介机构交易风险相比，此类案件不具有普遍性，但是由于是内部专业人员作案，手段更加隐蔽，对银行声誉的影响也更严重。,内部操作风险,防控措施： 规