科技风险管理及电子银行业务的监管课件

1、,银行监管高层研讨班科技风险管理及电子银行业务的监管,2,大纲,近期香港电子银行发展状况金管局就电子银行与科技风险管理的监管架构保安事故与诈骗事件简介欺诈电子邮件/伪冒网站与特洛伊木马程序示范,3,近期香港电子银行发展状况,4,香港网上银行的发展,提供网上银行服务的银行：56家银行约占银行体系92%的客户存款总额与80%的资产总值(已扣除准备金)6家银行透过流动电话或PDA(个人数码助理或个人电子手帐)提供流动电话理财服务宽带上网登记用户：约有188万个（截至2007年12月）(资料来源：电讯管理局),5,网上理财户口的增长,网上理财户口数目,1.1m,1.6m,1.8m,2.2m,2.5m,

2、2.8m,3k,31k,46k,67k,87k,108k,3.0m,131k,3.3m,162k,3.6m,208k,3.8m,234k,4.4m,266k,4.9m,307k,6,网上银行发展个人户口,7,网上银行发展工商企业户口,8,挑战与风险,9,电子银行风险与技术风险,使用互联网作为新型的银行服务管道将在某种程度上改变银行的风险形态，并且对银行的风险控制提出新的挑战与电子银行相关的基本风险类型可能没有大的变化，但风险产生的具体方式，以及潜在风险规模和对银行的影响速度，对于银行管理和银行监管提出新的课题除了战略风险外，操作风险、技术风险、信誉风险、法律风险，信用与资产流动性风险都需要考虑

3、,10,香港网上银行诈骗,香港的银行欺诈电邮和伪冒网站个案数目从2003年的8宗大幅增加至2004年的34宗，之后个案数目才减少，但近年又有上升的趋势:,于2004年9月发生第一宗有金钱损失的个案,26名受害人共损失140万港元,2003年-8宗2004年-34宗2005年-25宗2006年-17宗2007年-27宗2008年3宗(至2月),欺诈电邮和伪冒网站个案数目,(至2月),11,监管架构,电子银行与科技风险管理规管架构：,12,政策与指引,政策与指引,基础,电子银行与科技风险管理规管架构：,13,政策与指引,科技风险管理、电子银行科技风险管理的一般原则建议文件电子银行的监管建议文件伪冒

4、网站及欺诈电邮指引及通告绝不会透过电邮询问客户的敏感数据提供方法使客户能确保与真正的银行网站通讯定期寻找互联网上可疑的伪冒网站持续业务运作持续业务运作规划建议文件有关流感大爆发的防备工作之现场审查结果之通告.hk/hkma/eng/bank/spma/index.htm.hk/hkma/eng/guide/index.htm,14,双重认证,于2004年6月向银行发出指引要求各银行在2005年6月底前推出双重认证的身分核实方法强制所有高风险的个人网上银行交易必须使用双重认证身分核实，不使用双重认证的市民将不能进行高风险的网

5、上银行交易,15,为什么使用双重认证,为什么需要双重认证?用户名称和密码保安程度不足够出现利用欺诈电邮，伪冒网站，计算机病毒和特洛伊木马程序等盗取用户名称和密码的案例什么是双重认证?,例如:用户名称和密码,例如:电子证书，保安编码器或手提电话,窃贼不能经互联网遥远盗取用户拥有的工具，所以明显更为安全,你已知的资料,你拥有的工具,16,由保安编码器发出只可使用一次的密码,电子证书,通过手机短讯发出只可使用一次的密码,双重认证方法的例子,SecurityToken,17,最新发展,直至2007年中,有32间银行已经推行双重认证于高风险的零售网上银行交易,18,最新发展,约有160万零售网上银行户口

6、已登记使用双重认证,19,认知与培训,认知与培训,基础,电子银行与科技风险管理规管架构：,20,认知与培训,内部培训在推行现场科技审查前，提供培训予电子银行专责小组及一般银行监管职员通过刊物与工作坊为一般银行监管职员提供定期培训银行业在发布信息科技风险、持续业务运作规划及电子银行监管指引前，与银行业进行正式/非正式咨询举办各种研讨会(例如：最新科技犯案行骗手法、流感的紧急措施)以提高银行业的认知消费者教育积极参与香港银行公会之电子银行小组，跟业界合作提供公众网上银行安全教育,21,持续监察与审查,持续监察与审查,基础,电子银行与科技风险管理规管架构：,22,持续监察与审查,2002年开始推行现

7、场审查计划至今已进行约200项这类审查制定科技风险状况分析制度已完成约90多家银行或有关机构的科技风险状况分析,23,现场审查流程,检视科技风险状况挑选银行,落实审查范围及时间表,进行现场审查,完成审查项目清单及编制审查结果,审阅审查项目清单及审查结果,审阅整体风险状况及风险管理评级,审阅报告初稿,跟进审查结果,审查前的准备工作,更新科技风险状况,现场审查,准备阶段,审查结果及报告,整体评级及跟进结果,24,监管控制自我评估,基础,电子银行与科技风险管理规管架构：,25,监管控制自我评估,协助金管局安排监管资源的优先次序，并充分涵盖各主要银行已经向香港61家银行推出自我评估计划取得正面响应，包

8、括：,协助银行管理层安排资源运用的优先次序，以集中处理高风险事项共享制定基准的数据及就共同关注的事项交换信息采用自动化设施，减少重复输入的工序,26,示意评估结果及报表,27,示意评估结果及报表(续),28,示意评估结果及报表(续),29,示意评估结果及报表(续),30,国际合作,国际合作,基础,电子银行与科技风险管理规管架构：,31,国际合作,由于电子银行诈骗活动跨越国界，金管局已积极参予国际银行监管机构科技监管小组：,制定最新联络名单，以加快小组成员互通消息，从而更有效地处理跨境电子银行事故定期参与会议讨论有关电子银行监管的课题及最新的电子银行诈骗手法,32,保安事故与诈骗事件简介,33,

9、个案1：伪冒网站,可疑的银行网站：“”,34,个案1：伪冒网站,2003年6月，金管局收到超过14项有关“BanquedenationaleBank”的查询，这个网站“”，自称是在香港、纽约和伦敦均设有办事处的银行初步结论可能违反银行业条例，并且怀疑是伪冒网站向香港警务处举报以便进行调查与美国和英国监管机构确定“BanquedenationaleBank”并未获得任何认可或银行业牌照在2003年6月19日发出新闻稿，提高香港市民对伪冒网站的警觉,35,个案2：欺诈电邮连接伪冒网站,36,个案2:伪冒网站的登入网页,所显示的网站地址:,真实的网站地址:70/login/

10、login.htm,伪冒网站显示正确的银行网站地址,伪装扣锁,伪冒证书,37,个案3：特洛伊木马程序,真实个案-三井住友银行日期:2005年3月计划利用特洛伊木马程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元)诈骗手法:犯罪集团利用特洛伊木马程序来套取用户所按过的键，以窃取其登入姓名和密码意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警，以色列警方逮捕其中一个疑犯怀疑银行内部有职员协助犯罪集团安装特洛伊木马程序或由黑客将特洛伊木马程序从外面安装到银行网络,38,个案3:特洛伊木马程序,互联网,特洛伊木马程序,计算机窃贼,透过互联网把特洛伊木马(如按键录取程序、荧

11、幕录取程序)植入受害人的个人计算机内,连接网上银行网站,特洛伊木马,已安装特洛伊木马，但受害人全然不知,39,个案3：特洛伊木马程序,互联网,ABC网上银行服务,ABC银行,计算机窃贼,计算机窃贼登入受害人的账户,电子银行交易受害人的银行账户计算机窃贼的银行账户,40,个案4:十万网上户口资料被窃取,41,个案5:修改”host”档案连结到伪冒网站,于二零零四年十一月攻击三间巴西银行-Caixa,Unibanco和Bradesco特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案受害者输入正确的银行网站地址但连结到伪冒的网站,用户输入正确的银行网站地址,Internet(IP)a

12、ddressoffakewebsite,以修改的host档案翻译正确的银行网站地址成为伪冒网站的IP地址,使用者连结到伪冒网站,42,个案6：网上交易系统诈骗事件,真实个案-E-TradeSecurities与TDWaterhouse日期:2006年10月电脑窃贼入侵E-TradeSecurities与TDWaterhouse客人户口，并利用抬高股价，趁高出货（pump-and-dump）的手法导致2千2百万美元损失诈骗手法:东欧及亚洲的黑客利用特洛伊木马程序于受害者的电脑中安装键盘侧录程序，并于受害者登入账户时盗取其资料黑客接着以受害者的户口买入一些冷门股，炒高股价后再沽出黑客先前买下的股票

13、套利E-Trade与TDWaterhouse合共花费2千2百万美元以补偿客户的损失,43,个案7:MarketScoreproxy服务,声称可以增加互联网的联机速度及得到使用者的同意搜集其数据以“中间人”技术于proxy服务器解读经SSL加密的敏感信息(例如密码)proxy服务器发出的电子证书加密使用者与proxy服务器之间传送的数据银行的电子证书加密Proxy服务器与银行之间传送的数据,44,个案8:中间人技术,黑客,客户进行网上银行户口转帐入账户口:123456-111金额:$100,银行系统确认交易信息入账户口:987656-222金额:$9000,黑客中途拦截网银交易信息，更改交易指令

14、入账户口:123456-111987656-222金额:$100$9000,黑客中途拦截及更改银行系统确认交易信息，使银行客户不察觉交易指令已被更改入账户口:987656-222123456-111金额:$9000$100,银行客户,银行计算机系统,45,个案9:美国信用咭资料外泄事件,一家受雇于美国多间银行的信用咭交易处理中心(CardSystems)于2005年6月被黑客盗取了多名持咭人的资料,而该类资料更可被用作欺诈性的交易。原因:违反信息保安标准敏感的持咭人数据于完成授权过程后错误地保留在处理中心没有将资料加密,作为特殊的商业,法律及监管用途保安管理不足以防止黑客入侵约12,000张由

15、香港银行所发出的信用咭受影响香港的持咭人没有金钱上的损失,46,美国Visa及MasterCard的交易流程,47,事件引起的回响,事件指出以下项目的重要性对外判的服务供货商,特别是信息保安,应有充分的管理制订有效的评估去防止日益增加的黑客入侵风险制订有效的政策及程序,去保护,贮存及加密客人的数据金管局的评估/行动信息科技外判,网上银行的监察及科技风险管理的指引要求各银行再次评估其对于客户数据保安,贮存及保密的内部及外判活动的充分性及有效性监管控制自我评估及现场审查计划,48,个案10:美国TJX公司4500万顾客资料被盗窃,全球零售业巨头TJX公司于2007年3月承认，在过去一年半时间内，公司的系统遭到黑客多次侵袭，导致超过4500万的顾客之信用卡资料被盗去。相信黑客是利用TJX无线网络(W-Fi)的保安不足，通过连接无线电接收器的手提电脑，偷偷窥察TJX网络的敏感数据(如网络