银行业信息科技风险监管培训之电子银行监管课件PPT推荐.ppt
《银行业信息科技风险监管培训之电子银行监管课件PPT推荐.ppt》由会员分享,可在线阅读,更多相关《银行业信息科技风险监管培训之电子银行监管课件PPT推荐.ppt(47页珍藏版)》请在冰点文库上搜索。
http:
/,真实的网站地址:
/211.239.150.170/login/login.htm,伪冒网站显示正确的银行网站地址,伪装扣锁,伪冒证书,8,个案3:
特洛伊木马程序,真实个案-三井住友银行日期:
2005年3月计划利用特洛伊木马程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元)诈骗手法:
犯罪集团利用特洛伊木马程序来套取用户所按过的键,以窃取其登入姓名和密码意图将2亿2千万镑转账于10个以色列户口。
银行职员察觉可疑交易后报警,以色列警方逮捕其中一个疑犯怀疑银行内部有职员协助犯罪集团安装特洛伊木马程序或由黑客将特洛伊木马程序从外面安装到银行网络,9,个案3:
特洛伊木马程序,互联网,特洛伊木马程序,计算机窃贼,透过互联网把特洛伊木马(如按键录取程序、荧幕录取程序)植入受害人的个人计算机内,连接网上银行网站,特洛伊木马,已安装特洛伊木马,但受害人全然不知,按键录取程序或荧幕录取程序记下受害人的密码登入姓名,10,个案3:
特洛伊木马程序,互联网,ABC网上银行服务,ABC银行,计算机窃贼,计算机窃贼登入受害人的账户,电子银行交易受害人的银行账户计算机窃贼的银行账户,11,个案4:
十万网上户口资料被窃取,12,个案5:
修改”host”档案连结到伪冒网站,于二零零四年十一月攻击三间巴西银行-Caixa,Unibanco和Bradesco特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案受害者输入正确的银行网站地址但连结到伪冒的网站,用户输入正确的银行网站地址,Internet(IP)addressoffakewebsite,以修改的host档案翻译正确的银行网站地址成为伪冒网站的IP地址,使用者连结到伪冒网站,13,个案6:
网上交易系统诈骗事件,真实个案-E-TradeSecurities与TDWaterhouse日期:
2006年10月电脑窃贼入侵E-TradeSecurities与TDWaterhouse客人户口,并利用抬高股价,趁高出货(pump-and-dump)的手法导致2千2百万美元损失诈骗手法:
东欧及亚洲的黑客利用特洛伊木马程序于受害者的电脑中安装键盘侧录程序,并于受害者登入账户时盗取其资料黑客接着以受害者的户口买入一些冷门股,炒高股价后再沽出黑客先前买下的股票套利E-Trade与TDWaterhouse合共花费2千2百万美元以补偿客户的损失,14,个案7:
MarketScoreproxy服务,声称可以增加互联网的联机速度及得到使用者的同意搜集其数据以“中间人”技术于proxy服务器解读经SSL加密的敏感信息(例如密码)proxy服务器发出的电子证书加密使用者与proxy服务器之间传送的数据银行的电子证书加密Proxy服务器与银行之间传送的数据,15,个案8:
中间人技术,黑客,客户进行网上银行户口转帐入账户口:
123456-111金额:
$100,银行系统确认交易信息入账户口:
987656-222金额:
$9000,黑客中途拦截网银交易信息,更改交易指令入账户口:
123456-111987656-222金额:
$100$9000,黑客中途拦截及更改银行系统确认交易信息,使银行客户不察觉交易指令已被更改入账户口:
987656-222123456-111金额:
$9000$100,银行客户,银行计算机系统,16,个案9:
美国信用咭资料外泄事件,一家受雇于美国多间银行的信用咭交易处理中心(CardSystems)于2005年6月被黑客盗取了多名持咭人的资料,而该类资料更可被用作欺诈性的交易。
原因:
违反信息保安标准敏感的持咭人数据于完成授权过程后错误地保留在处理中心没有将资料加密,作为特殊的商业,法律及监管用途保安管理不足以防止黑客入侵约12,000张由香港银行所发出的信用咭受影响香港的持咭人没有金钱上的损失,17,美国Visa及MasterCard的交易流程,18,事件引起的回响,事件指出以下项目的重要性对外判的服务供货商,特别是信息保安,应有充分的管理制订有效的评估去防止日益增加的黑客入侵风险制订有效的政策及程序,去保护,贮存及加密客人的数据金管局的评估/行动信息科技外判,网上银行的监察及科技风险管理的指引要求各银行再次评估其对于客户数据保安,贮存及保密的内部及外判活动的充分性及有效性监管控制自我评估及现场审查计划,19,个案10:
美国TJX公司4500万顾客资料被盗窃,全球零售业巨头TJX公司于2007年3月承认,在过去一年半时间内,公司的系统遭到黑客多次侵袭,导致超过4500万的顾客之信用卡资料被盗去。
相信黑客是利用TJX无线网络(W-Fi)的保安不足,通过连接无线电接收器的手提电脑,偷偷窥察TJX网络的敏感数据(如网络登入名称及密码),然后侵入TJX的系统盗取顾客数据。
部份的顾客信用卡资料更被放上互联网公开发售,每张信用卡的资料为$20至$100美元(视乎信用卡的信用额)。
相信部分的信用卡已被用作欺诈性的交易。
估计TJX公司的损失达10亿美元(包括律师费用、赔偿等)。
20,1,3,Wi-Fi无线网络,信用卡资料,2,公司总部,零售分店,美国TJX公司顾客资料盗窃,手提式价格查阅机,分店计算机系统,黑客,21,个案11:
电脑蠕虫/病毒攻击SQLSlammer,2003年1月,快速蔓延的“SQLSlammer”蠕虫病毒感染大量企业与政府电脑,部份几乎陷于瘫痪蠕虫病毒透过SQLServer2000的安全漏洞入侵服务器并开始扩散,导致网络流量大幅增加破坏程度极高,亚洲,欧洲及美国的网络皆受到不同程度的攻击,部份网上服务因而速度减慢甚至中断蠕虫病毒攻击更令美国银行(BankofAmerica)的客户因技术故障而不能从13,000部自动提款机中提款,22,挑战与风险,23,电子银行风险与技术风险,使用互联网作为新型的银行服务渠道将在某种程度上改变银行的风险形态,并且对银行的风险控制提出新的挑战与电子银行相关的基本风险类型可能没有大的变化,但风险产生的具体方式,以及潜在风险规模和对银行的影响速度,对于银行管理和银行监管提出新的课题除了战略风险外,操作风险、技术风险、信誉风险、法律风险,信用与资产流动性风险都需要考虑,24,操作风险,增加了保安事故、服务中断或操作失误的可能性:
电子银行网络的开放性用户的自助操作和电子银行设备(如个人电脑)常常超出了银行的控制范围是对多种技术、系统和多边操作的整合很容易可在互联网上找寻到有关系统上的保安漏洞数据操作上的漏洞也可能被不法之徒利用,25,信誉和法律风险
(1),大众媒体喜欢炒作“有关网上银行问题”信任难于获得但易于失去保安事故可能演化为信誉,甚至法律问题:
当银行不能充分保护本机构的系统,并且不能向客户提供恰当的保安建议客户错误地将保密信息传送给与银行官方网站域名相似的可疑网站,26,信誉和法律风险
(2),电子银行用户期望较高很难容忍低效率或不能使用的系统(例如:
网上股票交易),即使不属于银行的控制管理范围投诉的原因可能是上网经验不足,错误使用或错误理解网上银行功能,以及其它技术性原因不充分的信息披露个人资料隐私问题(由于银行能透过电子银行服务获取很多客户资料)透过超链结方法所连系到由第三方提供的服务,27,信誉和法律风险(3),法律问题由于互联网及全球,因此网上银行业务需要符合境外的法律和监管要求(如:
信息披露要求)与电子银行用户无法进行面对面交流,需要防范洗钱等行为银行无法充分确认新推出的电子银行服务所可能涉及的法律问题,28,其它风险,电子银行的基本业务(如贷款、交易等)可能引发其它风险:
例如:
电子银行允许大额资金的网上实时划转,可能增加资金流动性风险电子银行客户关系的远程性和短期性,以及因竞争压力而降低信贷标准,可能增加信用风险,29,香港网上银行诈骗,香港的银行欺诈电邮和伪冒网站个案数目从2003年的8宗大幅增加至2004年的34宗,之后个案数目才减少,但近年又有上升的趋势:
于2004年9月发生第一宗有金钱损失的个案26名受害人共损失140万港元,2003年-8宗2004年-34宗2005年-25宗2006年-17宗2007年-27宗,欺诈电邮和伪冒网站个案数目,30,香港金管局的监管要求,31,董事会/高级管理层监督控制措施,建立专责委员会对主要电子银行业务进行评估在开发新的电子银行服务之前,制定有正式的业务战略对电子银行业务制定风险管理政策和规程促进“安全文化”建设由可靠的独立专家对新的电子银行业务实施独立评估,32,董事会/高级管理层监督观察到的问题,现场检查过程中发现的问题:
高级管理层对电子银行业务监督不足(如:
缺乏正式的督导委员会)对新的和经过重大升级的电子银行业务缺少独立性评估缺乏全面的互联网安全控制措施(如:
防火墙和隔离区网络的设置),33,关键的技术风险控制措施风险控制要求,实施严格身份认证措施(如:
双重身份认证)以识别电子银行客户对敏感信息实施加密在传输过程中,对敏感信息实施强“端对端”加密实施全面有效的输入参数值验证建立保安严谨的互联网基础建设对电子银行系统和互联网设备实施持续性监测,34,关键的技术风险控制措施风险控制要求(续),建立正式的事故应变和管理机制对电子银行业务实施有效的业务持续性规划对电子银行系统实施容量规划和性能监测对外部电子银行服务供应商实施尽职调查,35,关键的技术风险控制措施观察到的问题
(1),现场检查过程中发现的问题:
使用较弱的身份认证方式无法有效防范各种网络攻击(如:
诈骗电邮和欺诈银行网站)没有有效地实施双重身份认证(如:
数码证书只存储于硬盘)缺少“端对端”加密缺少实时监测工具对互联网入侵进行及时监测,36,关键的技术风险控制措施观察到的问题
(2),现场检查过程中发现的问题:
没有及时向监管机构报告事故系统恢复能力或备份系统不足:
导致长时间业务停运改为使用人手操作模式,导致服务效率降低网络带宽和系统容量不足,37,消费者保护风险控制要求
(1),严格依照“银行营运守则”的要求向个人客户提供电子银行服务使用可靠的身份认证方式确认客户的身份当客户要求变更任何电子银行账户资料时,必须实施充分的身份审查实施适当的措施以处理客户其它户口资料变更对向非注册第三方的资金转移实施充分的控制措施,38,消费者保护风险控制要求
(2),建立有效机制监测异常活动不使用电邮询问客户的敏感信息经常性地搜索与银行网站域名易混淆的第三方网站向客户提供有效的预防性安全建议经常性地评估电子银行业务的法律和信誉风险,39,消费者保护观察到的问题,现场检查过程中发现的问题:
使用不安全的方式向客户发送用户名称和密码缺乏假电邮和假网站的侦测机制(如:
定期搜索域名);
对异常交易监测不足(如:
资金划转和股票交易)。
40,双重身份认证Two-factorauthentication,41,双重身份认证,2004年1月,发布通知要求银行在2005年6月前全部使用双重身份认证对所有高风险的零售电子银行交易强制实施没有双重身份认证的用户不允许进行高风险交易,42,原因解释,我们为什么需要双重身份认证?
单独的用户名称和密码不再充分保障安全许多用户名称和密码因网络诈骗电邮、欺诈网站、病毒和木马程序等被盗什么是双重身份认证?
+,你已知的资料,你拥有的工具,例如:
用户名称和密码,例如:
数码证书、电子保安编码器或手机等,其安全性关键在于网上犯罪分子无法遥控地盗取电子银行用户拥有的互联网的身份认证设备,43,双重认证方法之例子,通过电子编码器发出的一次性密码,数码认证,通过手机短讯发送的一次性密码,SecurityToken,44,消费者教育,45,消费者教育,电子银行安全通过多种渠道促进公众的电子银行安全意识:
派发宣传单张制作电视短片和广播片断安装计算机互动游戏发报伪冒网站/电邮的新闻稿,46,消费者教育,推广双重身份认证通过消费者教育促进双因子身份认证的使用,包括:
新教育单张、电脑互动游戏、电视特辑、电台广播片段及新闻发布会,消费者教育在香港银行业公会的电子银行工作小组中扮演积极角色,通过实施一个全行业范围的项目,向公众进行电子银行安全教育,47,答疑时间,
升级会员 