银行监管高层研讨班科技风险管理及电子银行业务的监管2大纲近期香港电子银行发展状况金管局就电子银行与科技风险管理的监管架构保安事故与诈骗事件简介欺诈电子邮件/伪冒网站与「特洛伊木马」程序示范3近期香港电子银行发展状况4香港网上银行的发展提供网上银行服务的银行:56家银行约占银行体系92%的客户存款总额与80%的资产总值(已扣除准备金)6家银行透过流动电话或PDA(个人数码助理或个人电子手帐)提供流动电话理财服务宽带上网登记用户:约有188万个(截至2007年12月)(资料来源:电讯管理局)5网上理财户口的增长网上理财户口数目2001年底2002年底2003年中2003年底2004年中2004年底2005年中2005年底2006年中2006年底2007年中2007年底个人工商企业1.1m1.6m1.8m2.2m2.5m2.8m3k31k46k67k87k108k3.0m131k3.3m162k3.6m208k3.8m234k4.4m266k4.9m307k6网上银行发展-个人户口金融交易额及交易笔数0246810122H20041H20052H20051H20062H20061H20072H2007交易笔数(百万)0100200300400500600港元(亿)交易笔数(MonthlyAvg)交易金额(MonthlyAvg)7网上银行发展-工商企业户口金融交易额及交易笔数0200400600800100012001400160018002H20041H20052H20051H20062H20061H20072H2007交易笔数(千)020040060080010001200140016001800港元(亿)交易笔数(MonthlyAvg.)交易金额(MonthlyAvg.)8挑战与风险9电子银行风险与技术风险使用互联网作为新型的银行服务管道将在某种程度上改变银行的风险形态,并且对银行的风险控制提出新的挑战与电子银行相关的基本风险类型可能没有大的变化,但风险产生的具体方式,以及潜在风险规模和对银行的影响速度,对于银行管理和银行监管提出新的课题除了战略风险外,操作风险、技术风险、信誉风险、法律风险,信用与资产流动性风险都需要考虑10香港网上银行诈骗香港的银行欺诈电邮和伪冒网站个案数目从2003年的8宗大幅增加至2004年的34宗,之后个案数目才减少,但近年又有上升的趋势:于2004年9月发生第一宗有金钱损失的个案,26名受害人共损失140万港元2003年-8宗2004年-34宗2005年-25宗2006年-17宗2007年-27宗2008年–3宗(至2月)834251727305101520253035200320042005200620072008+313%86欺诈电邮和伪冒网站个案数目(至2月)11监管架构国际合作政策与指引认知与培训监管控制自我评估持续监察与审查基础电子银行与科技风险管理规管架构:12政策与指引政策与指引基础电子银行与科技风险管理规管架构:13政策与指引科技风险管理、电子银行《科技风险管理的一般原则》建议文件《电子银行的监管》建议文件伪冒网站及欺诈电邮指引及通告绝不会透过电邮询问客户的敏感数据提供方法使客户能确保与真正的银行网站通讯定期寻找互联网上可疑的伪冒网站持续业务运作《持续业务运作规划》建议文件有关流感大爆发的防备工作之现场审查结果之通告://双重认证于2004年6月向银行发出指引﹐要求各银行在2005年6月底前推出双重认证的身分核实方法强制所有高风险的个人网上银行交易必须使用双重认证身分核实,不使用双重认证的市民将不能进行高风险的网上银行交易15为什么使用双重认证为什么需要双重认证?用户名称和密码保安程度不足够—出现利用欺诈电邮,伪冒网站,计算机病毒和「特洛伊木马」程序等盗取用户名称和密码的案例什么是双重认证?例如:用户名称和密码例如:电子证书,保安编码器或手提电话窃贼不能经互联网遥远盗取用户拥有的工具,所以明显更为安全你已知的资料你拥有的工具16由保安编码器发出只可使用一次的密码电子证书通过手机短讯发出只可使用一次的密码双重认证方法的例子SecurityToken17最新发展直至2007年中,有32间银行已经推行双重认证于高风险的零售网上银行交易双重认证方法银行数目电子证书8短讯7保安显示器8电子证书及短讯6电子证书及保安显示器3总数3218最新发展约有160万零售网上银行户口已登记使用双重认证4%32%64%電子證書短訊保安顯示器19认知与培训认知与培训基础电子银行与科技风险管理规管架构:20认知与培训内部培训在推行现场科技审查前,提供培训予电子银行专责小组及一般银行监管职员通过刊物与工作坊为一般银行监管职员提供定期培训银行业在发布信息科技风险、持续业务运作规划及电子银行监管指引前,与银行业进行正式/非正式咨询举办各种研讨会(例如:最新科技犯案行骗手法、流感的紧急措施)以提高银行业的认知消费者教育积极参与香港银行公会之电子银行小组,跟业界合作提供公众网上银行安全教育21持续监察与审查持续监察与审查基础电子银行与科技风险管理规管架构:22持续监察与审查2002年开始推行现场审查计划至今已进行约200项这类审查制定科技风险状况分析制度已完成约90多家银行或有关机构的科技风险状况分析23现场审查流程检视科技风险状况挑选银行落实审查范围及时间表进行现场审查完成审查项目清单及编制审查结果审阅审查项目清单及审查结果审阅整体风险状况及风险管理评级审阅报告初稿跟进审查结果审查前的准备工作更新科技风险状况现场审查准备阶段审查结果及报告整体评级及跟进结果24监管控制自我评估监管控制自我评估基础电子银行与科技风险管理规管架构:25监管控制自我评估协助金管局安排监管资源的优先次序,并充分涵盖各主要银行已经向香港61家银行推出自我评估计划取得正面响应,包括:协助银行管理层安排资源运用的优先次序,以集中处理高风险事项共享制定基准的数据及就共同关注的事项交换信息采用自动化设施,减少重复输入的工序26示意评估结果及报表0102030405060708090100管控程序的百分比蓝色红色黄色绿色蓝色8239035301122红色1002770100100黄色1651012301768017550绿色7547977720977729100714398总体业界平均结果最差表现的银行最好表现的银行电子银行业界平均结果最差表现的银行最好表现的银行持续业务运作规划业界平均结果最差表现的银行最好表现的银行科技风险管理业界平均结果最差表现的银行最好表现的银行总体电子银行持续业务运作规划科技风险管理27示意评估结果及报表(续)银行数目1.高层监督和治理1.1.1.制定策略、流程和职责1.1.2.业务连续性规划的组织1.1.3.监测和报告机制1.1.4.独立评估机制11.1.5.管理层签报机制2.业务规划与开发2.1.1.规划的基本原则12.2.1.重要部门设置12.2.2.恢复计划的时间进度表112.3.1.业务恢复机制12.3.2.业务连续性规划最低要求2.4.1.危机管理小组112.4.2.危机管理指挥中心12.4.3.业务重置和工作小组12.5.1.危机管理流程设置12.5.2.业务重置12.5.3.突发事件应急处理联络和恢复项目列表12.5.4.技术恢复方案2.6.1.重要信息的定义2.6.2.重要信息记录管理2.6.3.联络沟通机制2.7.1.其他风险化解和转移措施3.备份中心3.1.1.业务重置备份中心的建设3.1.2.备份中心的启动就绪要求3.1.3.技术恢复备份中心的建设3.1.4.电信网络连接备份3.1.5.外包备份中心的管理3.1.6.互惠的业务恢复协议4.测试与维护4.1.1.业务连续性规划的测试频度14.1.2.业务连续性规划的测试范围14.1.3.测试文档管理14.1.4.业务连续性规划测试的后评价14.2.1.变更管理14.2.2.业务连续性规划文档的存取管理4.2.3.外部服务提供商管理140455020253035051015842728141138841163354421236940735842620104074374354521830842842264210399409405441238484954312372128113854421038347123845501238202530350510154028示意评估结果及报表(续)29示意评估结果及报表(续)30国际合作国际合作基础电子银行与科技风险管理规管架构:31国际合作由于电子银行诈骗活动跨越国界,金管局已积极参予国际银行监管机构科技监管小组:制定最新联络名单,以加快小组成员互通消息,从而更有效地处理跨境电子银行事故定期参与会议讨论有关电子银行监管的课题及最新的电子银行诈骗手法32保安事故与诈骗事件简介33个案1:伪冒网站可疑的银行网站:“”34个案1:伪冒网站2003年6月,金管局收到超过14项有关“BanquedenationaleBank”的查询,这个网站“”,自称是在香港、纽约和伦敦均设有办事处的银行初步结论──可能违反《银行业条例》,并且怀疑是伪冒网站向香港警务处举报以便进行调查与美国和英国监管机构确定“BanquedenationaleBank”并未获得任何认可或银行业牌照在2003年6月19日发出新闻稿,提高香港市民对伪冒网站的警觉35个案2:欺诈电邮连接伪冒网站36个案2:伪冒网站的登入网页所显示的网站地址:真实的网站地址:�@211.239.150.170/login/login.htm伪冒网站显示正确的银行网站地址伪装扣锁伪冒证书37个案3:「特洛伊木马」程序真实个案-三井住友银行日期:2005年3月计划利用「特洛伊木马」程序从三井住友银行伦敦分行盗取2亿2千万镑(超过34亿港元)诈骗手法:犯罪集团利用「特洛伊木马」程序来套取用户所按过的键,以窃取其登入姓名和密码意图将2亿2千万镑转账于10个以色列户口。银行职员察觉可疑交易后报警,以色列警方逮捕其中一个疑犯怀疑银行内部有职员协助犯罪集团安装「特洛伊木马」程序或由黑客将「特洛伊木马」程序从外面安装到银行网络38个案3:「特洛伊木马」程序互联网「特洛伊木马」程序计算机窃贼透过互联网把「特洛伊木马」(如按键录取程序、荧幕录取程序)植入受害人的个人计算机内连接网上银行网站受害人「特洛伊木马」已安装「特洛伊木马」,但受害人全然不知按键录取程序或荧幕录取程序记下受害人的密码/登入姓名39个案3:「特洛伊木马」程序互联网ABC网上银行服务ABC银行计算机窃贼计算机窃贼登入受害人的账户电子银行交易受害人的银行账户计算机窃贼的银行账户電腦竊賊40个案4:十万网上户口资料被窃取41个案5:修改”host”档案连结到伪冒网站于二零零四年十一月﹐攻击三间巴西银行-Caixa,Unibanco和Bradesco特洛伊木马程序或恶意的编码程序修改受害者计算机的”host”档案受害者输入正确的银行网站地址但连结到伪冒的网站用户输入正确的银行网站地址Internet(IP)addressoffakewebsite以修改的host档案翻译正确的银行网站地址成为伪冒网站的IP地址使用者连结到伪冒网站42个案6:网上交易系统诈骗事件真实个案-E-TradeSecurities与TDWaterhouse日期:2006年10月电脑窃贼入侵E-TradeSecurities与TDWaterhouse客
