中国银监会信息科技风险评价审计培训
科技风险管理、电子银行业务
及持续业务运作的监管
大纲
银行面对的挑战 — 近期的保安事故与诈骗事件
香港金管局就科技风险管理、电子银行业务及持续业务运作的监管架构
程序示范 – 信息科技诈骗个案所采用之最新手法
近期信息科技保安事故
及诈骗事件的挑战
「特洛伊木马」程序 –三井住友银行
网上交易系统诈骗事件– E-Trade Securities 与 TD Waterhouse
美国信用咭资料外泄事件 - CardSystems
「中间人」攻击技术—Marketscore
电脑蠕虫/病毒攻击– SQL Slammer
个案 1:「特洛伊木马」程序
真实个案 - 三井住友银行
日期: 2005年3月
计划利用「特洛伊木马」程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元)
诈骗手法:
犯罪集团利用「特洛伊木马」程序来套取用户所按过的键,以窃取其登入姓名和密码
意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警,以色列警方逮捕其中一个疑犯
怀疑银行内部有职员协助犯罪集团安装「特洛伊木马」程序或由黑客将「特洛伊木马」程序从外面安装到银行网络
使用「特洛伊木马」程序
「特洛伊木马」程序
电脑窃贼
透过互联网或其它方法把「特洛伊木马」(如按键录取程序、荧幕录取程序) 植入受害人的个人电脑内
连接网上
银行网站
受害人
「特洛伊木马」
已安装「特洛伊木马」,但受害人
全然不知
按鍵錄取程式或熒幕錄取程式記下受害人的密碼/登入姓名
使用「特洛伊木马」程序 (續)
ABC 银行
电脑窃贼
电脑窃贼登入受害人的账户
电子银行交易
受害人的银行账户
电脑窃贼的银行账户
電腦竊賊
十万网上户口资料被窃取
个案 2:网上交易系统诈骗事件
真实个案 - E-Trade Securities 与 TD Waterhouse
日期: 2006年10月
电脑窃贼入侵E-Trade Securities 与 TD Waterhouse客人户口,并利用「 抬 高 股 价 , 趁 高 出 货 」 ( pump-and-dump )的手法导致2千2百万美元损失
诈骗手法:
东欧及亚洲的黑客利用「特洛伊木马」程序于受害者的电脑中安装键盘侧录程序,并于受害者登入账户时盗取其资料
黑客接着以受害者的户口买入一些冷门股,炒高股价后再沽出黑客先前买下的股票套利
E-Trade 与 TD Waterhouse合共花费2千2百万美元以补偿客户的损失
个案3 : 美国信用咭资料外泄事件
一家受雇于美国多间银行的信用咭交易处理中心(CardSystems)于2005年6月被黑客盗取了多名持咭人的资料, 而该类资料更可被用作欺诈性的交易。
原因: 违反信息保安标准
敏感的持咭人数据于完成授权过程后错误地保留在处理中心
没有将资料加密,作为特殊的商业,法律及监管用途
保安管理不足以防止黑客入侵
约12,000张由香港银行所发出的信用咭受影响
香港的持咭人没有金钱上的损失
美国Visa及MasterCard的交易流程
个案 4 : MarketScore proxy 服务
声称可以增加互联网的联机速度及得到使用者的同意搜集其数据
以“中间人”技术﹐于proxy服务器解读经SSL加密的敏感信息(例如密码)
proxy服务器发出的电子证书加密使用者与proxy服务器之间传送的数据
银行的电子证书加密Proxy服务器与银行之间传送的数据
5.电脑蠕虫/病毒攻击– SQL Slammer
2003年1月,快速蔓延的“SQL Slammer”蠕虫病毒感染大量企业与政府电脑,部份几乎陷于瘫痪
蠕虫病毒透过SQL Server 2000的安全漏洞入侵服务器并开始扩散,导致网络流量大幅增加
破坏程度极高,亚洲,欧洲及美国的网络皆受到不同程度的攻击, 部份网上服务因而速度减慢甚至中断
蠕虫病毒攻击更令美国银行(Bank of America)的客户因技术故障而不能从13,000部自动提款机中提款
香港金管局所推行的监管架构
国际合作
政策与指引
认知与培训
监管控制自我评估
持续监察与审查
基础
香港金管局之科技风险管理、电子银行与持续业务运作监管架构:
政策与指引
科技风险管理、电子银行
《科技风险管理的一般原则》建议文件
《电子银行的监管》建议文件
伪冒网站及欺诈电邮指引及通告
绝不会透过电邮询问客户的敏感数据
提供方法使客户能确保与真正的银行网站通讯
定期寻找互联网上可疑的伪冒网站
持续业务运作
《持续业务运作规划》建议文件
有关流感大爆发的防备工作之现场审查结果之通告
认知及培训
内部培训
于现场科技审查推行前为网上银行专责小组及一般银行职员提供培训
通过刊物与工作坊为一般银行监管职员提供定期培训
银行业
发布信息科技风险,业务持续性计划及网上银行手则前与银行业为进行正式/非正式咨询
举办各种研讨会 (例如:最新科技犯案行骗手法,流感的紧急措施) 以提高银行的认知
消费者教育
积极参与香港银行业工会网上银行小组为业界提供的大众网上银行安全教育计划
持续监察与审查
2002年开始推行现场审查计划
至今已进行约200项这类审查
第一级/第二级现场审查
专题审查
(例如于2006年初进行“有关流感大爆发的防备工作”之现场审查(包括15间主要银行)
制定科技风险状况分析制度
已完成约100家银行或有关机构的科技风险状况分析
现场审查流程
检视科技风险状况
挑选银行
落实审查范围
及时间表
进行现场审查
完成审查项目清单
及编制审查结果
审阅审查项目清单
及审查结果
审阅整体风险状况
及
风险管理评级
审阅报告初稿
跟进审查结果
审查前的准备工作
更新科技风险状况
现场审查
准备阶段
审查结果及报告
整体评级及跟进结果
示范 — 科技风险状况系统
监管控制自我评估
协助金管局安排监管资源的优先次序,并充分涵盖各主要银行
已经向香港60家银行推出自我评估计划
取得正面响应,包括:
协助银行管理层安排资源运用的优先次序,以集中处理高风险事项
共享制定基准的数据及就共同关注的事项交换信息
采用自动化设施,减少重复输入的工序
示范 — 监管控制自我评估系统
国际合作
积极参予“国际监管机构信息科技小组”(由以往的巴塞尔银行监管委员会辖下的电子银行小组成员组成)
香港金管局于2006年4月举办“国际监管机构信息科技小组会议”,讨论信息科技监管的议题
正与英国金管局及其它海外主要的金融监管机构一起制定有效的跨境通讯模式及程序
示范
1. 欺诈电子邮件与网站
2.「特洛伊木马」程序
过滤本地域名 (“.hk”)的建议
金管局与香港域名注册有限公司已达成安排,确保只有获认可的机构(如银行)才可注册包含「银行」一词或其任何相关的衍生词 (如「 banque」)的本地互联网域名(“.hk”)
香港银行界、金管局及香港警务处已于2004年9月正式推出了事故应变机制 (e-FIRST 程序),使银行界更有效应付:
制定最新联络名单,以加快电子银行小组成员互通消息,从而更有效地处理跨境电子银行事故