电子银行风险总结.doc

一是银行卡业务处理环节信息泄露问题,如由于工作需要,部分银行将客户信息存储于普通办公计算机设备,在接入互联网、报废和维修等阶段,敏感信息缺乏有效的安全控制,存在客户信息泄露的风险。
二是磁条银行卡安全性问题。目前国内银行卡科技含量不高,致使犯罪的技术门槛较低,在ATM中安装数据采集装置实施犯罪的案件频发。
三是自助银行终端信息安全管理不力。部分银行没有采取严格的终端控制策略,自助终端无法有效监控信息存取操作,可随意拷贝设备内的文件,同时机接插件(如网络接口和模块)缺乏安全保护,如某银行网银自助服务体验区计算机设备采用内部办公的地址访问互联网,不仅可以使用移动存储设备,还能够访问该行的内部敏感网络,同时设备还可任意执行程序代码。
四是外包服务管控不严。部分银行在外包服务人员进行自助设备维护操作时,未实施现场监督,对于其存取的数据也未进行登记和交接。

一是银行卡受理环节存在违规行为,如在信用卡办理过程中,银行工作人员迫于营销任务压力,委托熟人和第三方人员办理信用卡申请,甚至直接盗用客户开户信息办理信用卡业务,通过夹带方式,诱使客户鉴署无关的业务协议等。二是特约商户缺乏有效管控。部分银行在拓展特约商户时,轻视对商户的资信审查,未制定特约商户定期回访机制或回访机制流于形式等。三是自助设备管理制度执行不严,如部分银行自助设备管理人员未定期轮岗,自助设备密码、钥匙由同一人保管,未施行平行交接,存在在设备维护中擅离职守等问题。

一是重数据中心风险管理、轻分支机构和终端设备安全管理。电子银行业务的特征,决定了风险控制的界面在客户端、网点端、用户端。目前,各行多采取业务集中处理的模式,数据中心安全得到了普遍重视,但对于分支机构安全管理的措施和要求不够严格,加之分支机构自身安全意识普遍较低,导致在安全管理方面投入资源不足。
例如,没有建立覆盖每个网点的信息安全员管理制度,缺乏对各类终端设备定期安全检查的制度性安排,没有对客户信息采取严格的技术管理措施。二是电子银行设备安全监控措施形同虚设。部分银行离行式ATM,由于传输线路不通畅,监控措施不能发挥其监控预警功能;网银系统虽然部署了防火墙、IDS等安全技术设施,但日志分析、风险评估等流于形式。三是特约商户的交易终端设备安全问题突出。
尤其是POS设备的防信息窃取的控制、外挂刷卡设备的安全控制和POS机具外包服务的安全控制措施等。四是业务系统测试不足。
2006年广州发生的许霆案就是测试不足所导致的典型例子。近期某银行在实施商户POS系统项目建设中,由于加密测试不到位也导致业务运行缓慢。

由于网络经济和电子银行是一个全新的领域,具有不同于传统银行业务活动的特殊性,与传统的法律制度、社会规则之间必然发生冲突。我国现处于经济转型期,法制不够健全,假冒伪劣商品时有出现,服务水平较为低下,消费者权益往往得不到充分保护。特别是在电子支付安全方面,隐私权保护、电子签名、商业合同认证、纠纷调解、网上打假等问题的解决还缺乏相应的法律保障。由于缺乏相关的法律,问题出现后涉及责任认定、承担、仲裁结果的执行等复杂的法律关系,增加了银行和客户在网上进行金融交易的风险。
三、防范电子银行业务风险的对策和建议