商业银行科技风险案例63条

WORD完美格式..整理分享..商业银行科技风险案例63条中国银行业监督管理委员会信息中心二○一○年八月WORD完美格式..整理分享..序言当前，信息技术已经渗透到商业银行经营管理的各个领域，银行业已成为信息技术高度密集、高度依赖的行业，同时也是受信息科技风险影响最大的行业之一。信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础，还关系到整个银行业的安全和国家金融体系的稳定。根据近几年国际上出现的信息系统故障事件分析，如果银行信息系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉和市值造成极大伤害；中断2～3天以上不能恢复，将直接危及银行乃至整个金融系统的稳定。同时，随着网上银行、电子商务等网络金融服务的快速发展，利用网络信息技术的犯罪活动也日益增加，威胁银行业信息安全、针对网上银行的案件呈上升趋势，对客户利益和对银行声誉带来的危害不容忽视。2004年，巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴，使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。近年来，银监会对银行信息科技风险管理高度重视，对银行信息科技风险管理提出了明确要求。各商业银行也普遍提高了对信息科技风险管理的关注程度，银行业的信息科技风险管理水平不断提高。在取得成绩的同时，必须清醒地意识到存在的问题与不WORD完美格式..整理分享..足。近年来国内外信息科技风险事件时有发生，系统重大停机宕机、核心业务系统中断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等。后果严重，教训深刻，网络与信息安全形势不容忽视。这些事件的发生再次向我们敲响警钟：信息科技工作一旦发生问题就是重大问题。信息科技风险就在身边，强化风险监管刻不容缓。以史为镜知兴替，以案为鉴明得失。基于此，银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理，从中选择有代表性和借鉴意义的典型案例，开创性地编写了《银行业科技风险警示录》。该书汇编刊印工作非常适时，非常必要，在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。入选案例都具有较高的借鉴价值，为银监会系统的IT风险监管工作提供了有效资料，为各银行业金融机构和广大员工提供了警示教材。这些素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例，还是对银行高管人员、审计人员以及从事相关业务的广大员工，都具有实践的借鉴价值和指导作用。《银行业科技风险警示录》汇编教材意义重大，值得肯定。“前事昭昭，足为明戒”。银监会系统一定要高度重视信息科技风险管控工作。切实分析好、利用好这些案例，认真查找银行业金融机构在内控管理、安全防范、信息技术等WORD完美格式..整理分享..方面存在的差距与不足，清醒把握当前防范计算机犯罪与信息安全面临的形势。采取有针对性的监管措施，指导银行业金融机构落实内控、提高信息安全管理能力，遏制计算机犯罪快速上升势头。各银行业金融机构要能够吸取这些案例的教训，警钟长鸣，积极开展多种形式的信息科技风险警示教育，做好计算机案件与信息安全事件防范工作，促进在更大范围和更高层次上提升信息科技风险防范水平。我们坚信：通过提高信息科技风险防范意识，完善信息科技风险管理机制，计算机案件和信息安全事件的发生概率就会大大降低，所造成的影响和损失也将会大大减轻。是为序。郭利根二Ｏ一Ｏ年八月WORD完美格式..整理分享..前言随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入，涉及信息技术的犯罪案件与信息安全事件不断发生，且呈现快速上升趋势。近年来出现的一些重大金融信息科技风险案例表明，信息系统为金融机构日常运营提供了重要的基础支持，银行业的稳健经营离不开对信息科技风险的有效管理。国外两大事件将科技风险管控重要性昭示天下。2001年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据，令近九百家机构因此倒闭，美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。2009年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络，伪造假卡，在不足12小时内从全球至少280个城市的2100部提款机提取逾900万美元现金，使RBS集团短时间内损失惨重。如果不能对信息科技风险进行有效管控，一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。鉴于此，银监会信息中心组织专人对银行业金融机构计WORD完美格式..整理分享..算机犯罪和信息安全事件进行认真梳理，从中选择部分有代表性和一定借鉴意义的典型案例，编写了《银行业科技风险警示录》。《银行业科技风险警示录》收集了中国银行业金融机构2004～2010年初所发生的具有代表性的98个计算机犯罪案件和信息安全事件。入选案例通常在多家银行发生，且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。汇编此书，意欲举一反三，警示昭告，引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以及各相关业务部门的高度重视，以认真汲取事故教训，采取措施，堵塞漏洞。《银行业科技风险警示录》中各案例内容分别包括“案例描述”、“案例分析”两个部分。“案例描述”部分主要是以有关银行提供的事件分析报告为依据，简要介绍案例概况；“案例分析”部分深入浅出地对案件内部深层次原因进行剖析，以反映银行机构信息安全面临的严峻形势。在每节后附“防范对策与建议”，通过各家银行的实际防范经验总结为银行建立解决方案提供借鉴。《银行业科技风险警示录》着重突出了以下特点：一是素材新。入选的98个计算机犯罪案件和信息安全事件具有普遍典型意义，部分案例为国内首次披露。二是内容全。通过向全国银行业金融机构广泛征集案例，保证了内容的覆盖WORD完美格式..整理分享..面和信息量，基本做到了案件与事件、历史与现状、中资银行与外资银行、不同规模银行业机构等的兼收并蓄。三是富有新意。《银行业科技风险警示录》对案例内容尝试性引入了危害指数、影响指数和频度指数进行风险分级。其中，危害指数主要侧重从案件对行业的冲击力及对银行客户的影响面进行分析；影响指数主要侧重从事件对银行持续经营的影响度进行分析；而频度指数主要从发生概率（案件和事件）或作案难易度（仅针对案件）进行定性分析。案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。四是深入浅出。注重技术深度和通俗易懂的结合，每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行，具有较好的完整性、前瞻性和实用性。同时，力避生硬技术性论述，数据主要以图、表形式进行罗列和分析，使读者一目了然。中国银行业监督管理委员会信息中心二〇一〇年八月WORD完美格式..整理分享..目录第一章信息科技相关案件.....................................................11第一节网上银行类案件.......................................................21案例1：篡改网银交易数据盗取客户资金................................21案例2：利用内嵌病毒邮件盗取客户资金................................22案例3：通过木马盗取客户资金之一....................................23案例4：通过木马盗取客户资金之二....................................24案例5：远程操纵客户计算机盗取资金..................................25案例6：攻击网站获取客户信息盗取资金................................26案例7：窃取客户网银证书作案........................................27案例8：盗取同事账户作案............................................28案例9：利用假证件开通网上银行作案..................................29案例10：嗅探网银系统作案............................................30案例11：非法破解用户密码作案........................................31第二节内控缺陷类案件.......................................................34案例12：非法办理存折配卡作案........................................34案例13：篡改系统数据虚开存单作案....................................35案例14：篡改账户状态非法结息作案....................................36案例15：篡改账务数据盗取资金........................................38案例16：利用综合业务系统漏洞作案之一................................39案例17：利用综合业务系统漏洞作案之二................................40案例18：利用贷款业务系统缺陷作案....................................41案例19：利用储蓄业务系统漏洞作案....................................42案例20：盗用他人柜员密码挂失存单作案................................43案例21：盗取他人柜员密码空存资金作案................................44案例22：盗用他人柜员密码虚列利息支出作案............................45案例23：盗用系统权限冒名贷款作案....................................46案例24：伪装外包人员混入银行营业室作案..............................47案例25：利用外包管理漏洞盗取客户信息作案............................48案例26：编制非法程序窃取客户信息作案................................49案例27：盗取客户信息篡改数据库作案..................................50案例28：窃取数据仓库客户信息作案....................................51第三节自助设备类案件.......................................................54案例29：加装特殊装置盗取银行卡信息作案..............................54案例30：张贴虚假告示骗取客户信任作案................................64案例31：利用自助设备的自动保护功能作案..............................72案例32：利用自助设备功能模块缺陷作案................................74案例33：利用自助设备系统程序漏洞作案................................75案例34：通过砸撬ATM机等暴力手段进行作案............................76案例35：一些其他银行卡犯罪案件.....................................