银行新业务的发展对信息安全提出了新的挑战,而目前的网上银行不能满足在易用性和安全性上的综合需求。
产业分析:银行业网络系统面临的风险主要包括:非法访问银行网络系统;假冒网络终端/操作员;数据大集中所引起的网络安全风险集中;截获和篡改传输数据;其他安全风险。接踵而来的银行新业务的发展对网络安全提出了新的挑战,城市商业银行的区域扩张使银行内联网的安全面临严峻考验;网上银行、POS机、ATM等业务发展带来的互联网和用户端网络安全问题;移动支付业务(手机银行、移动POS等)的发展带来大量的网络安全问题;跨行业务的大量增加凸显人行电子联行系统的网络安全问题,这一系列问题形成了目前银行业IT系统中的隐形炸弹。
易观国际(Analysys International)发现,中国银行业2004年发生信息安全事件约8600起,涉及总金额约2.5亿元人民币,而且每年事件数量以12%的速度增长。目前网银客户端的大众版安全措施过于稀疏,身份审核校验方式简单,容易给不法分子可乘之机,并且用户的安全风险告知不充分。而安全性相对较高的专业版申请手续过于繁琐无法普及。以上两种网银客户端安全性和易用性结合不好,都不能适应目前客户的需求。如果不能很好解决安全性、易用性等问题,网上银行、移动支付等新业务的发展将受到制约。
策略建议:
易观国际分析师认为:“对储户寄放到银行的财务提供必要的安全保障是银行的义务,因此银行必须不断改善安全措施,尽量减少网上诈骗、帐号盗用的可能性,并加强对用户的风险提示。在目前银行系统还有待健全的时期,用户自身也需要加强一些安全意识,保管好自己的帐号密码,以减少帐号被盗用的可能性,并尽量使用安全性高的银行服务。”
新闻背景:
网上银行大众版暗藏漏洞 客户独自面对风险
www.sina.com.cn 2005年06月28日 02:39 每日经济新闻
据央行即将出台的新规,大众版个人网上银行客户可能须独自面对风险
唐赟 每日经济新闻
从来不知道“网上银行”为何物的四川省乐山市普通工人丁杰,从未开通过网上银行,但他在工行乐山市五通桥支行的6000多元存款一夜之间被人以网上购物方式一扫而空。
上周,在美国爆发的信用卡资料泄漏事件,随着事态的明朗,迅即扩展到亚太,并波及中国内地。金融网络安全问题成了关注焦点。丁杰的遭遇,正凸现了金融网络安全难题。
“我从来没想到,放在银行的钱会莫名其妙地飞了,而且银行告诉我,是我自己网上购物给花光了。”丁杰情绪激动地告诉《每日经济新闻》。
在蓬勃兴起的网上银行业务中,丁杰的遭遇并非个案。其重要原因在于,安全级别较低的大众版网上银行账户容易被“黑”。问题的严重性还在于,目前网上银行业务当中,大众版用户占据了绝大多数,而使用有一定安全保证的专业版的客户并不多。
不仅如此,数以千万计的大众版用户们又要面临一个新挑战。上海银行界人士向《每日经济新闻》透露,根据央行近期出台的《电子支付指引(征求意见稿)》,今后大众版用户账户被“黑”掉的损失,很可能将由客户自己承担,银行则可能将被免责。
专业版申办繁琐大众版风险很高工行一位电子银行专家表示,个人网上银行一般分为大众版和专业版,本质区别在于安全级别。专业版必须由用户本人到银行网点办理,采用的数字安全证书拥有上百位的签名密钥,安全级别很高;而大众版允许客户凭身份证号、账号和密码在网上自助开通,手续简便,运行后保密性较差,防护措施仅仅是客户自设的登陆密码和付款密码。
“各家银行专业版的用户都少得可怜。”浦东发展银行电子银行部一位负责人透露,招商银行是最早推广网上银行业务的银行之一,其网上银行客户数量上千万,但专业版客户不过数万。据招商银行统计,今年1-4月份招行超过50%的个人业务不是在柜台上完成,而是通过网上银行操作的。
工行的网上银行业务量也在国内银行业前列,但大众版客户仍然占据绝大多数。来自工行总行的数据显示,截至今年3月,工行个人网上银行客户数量达到1106万户。“其中绝大多数都是大众版用户,专业版客户很少。”工行总行一位知情人士透露。以该行浙江省分行为例,这家分行60多万的网上银行客户中,专业版本客户不足万人。
作为中国网上银行业务的领先者,招行和工行的数据某种程度上是整个行业的写照。浦发行上述负责人表示,由于专业版网上银行业务开通手续比较复杂,使得银行在推广时遇阻,从而转向大众版。
而且,银行急于拓展业务量,纷纷简化了大众版用户的开通手续,建行、工行、农行等银行的个人网上银行大众版客户都可以轻松实现网上购物。网上购物简单的开通手续和稀疏的防范措施使其成了网上银行盗用风险频发的高危渠道。
丁杰的遭遇就是大众版网上银行被“黑”的典型方式。他告诉《每日经济新闻》,自己根本就没有开通过网上银行,但存在乐山市工行五通桥支行的6000多元存款在一夜之间被人以网上购物的方式一扫而空。因为开办工行大众版网上银行业务时,客户不需要到网点、不需要原卡和身份证件原件,只需要几个号码即可开通,大大“便利”了盗取资金的行为。
央行新规(草案):使用大众版被盗用银行免责尽管损失已经发生,但丁杰“无辜”的遭遇能找银行理论吗?
根据央行先前发布《电子支付指引(征求意见稿)》,其中第四十五条规定:“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过了发起行或转发人的安全程序,发起行或转发人对该指令进行处理所产生的后果不承担责任。”
根据此条规定,只有在账户“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况下,银行才会负相关责任。在没有直接责任的情况下,银行只被要求“积极配合客户查找原因,尽量减少客户的损失”。
浦发行电子银行部的一位人士对此的通俗化解释是:所谓“使用数字证书和电子签名等作为安全认证方式”的就是指专业版用户,客户使用网上银行专业版进行网上购物,发生的账户盗用损失由银行买单,而“非使用数字证书和电子签名等作为安全认证方式”的即指大众版用户,客户使用网上银行大众版进行网上购物,只要银行系统不存在问题,无法追回的账户盗用损失由客户自己承担。
《电子支付指引(征求意见稿)》尚在征求意见之中,最终结果仍不得而知。银行对第四十五条的规定非常赞成,表示此前银行遇到大众版网银被盗的案例通常也是不赔,央行的规定让这一惯例有了法规依据。
银行没有充分的风险提示法律专家:银行对客户不公客户希望银行能够负起相应的责任。丁杰说:“我卡上的钱是在凌晨2点被人分7次在同一个网站上花掉的,银行难道都不会觉得奇怪吗?银行对网上购物难道没有任何单日额度限制吗?”
据报道,工行日前称,该行的个人网上银行规则在今年6月10日进行了调整。对于使用个人网上银行的无证书(大众版)客户,如果需要对外转账或汇款,其单笔交易限额为2000元,当日累计交易限额为5000元。但使用证书(专业版)的客户不受此限制。
除了在电子系统上进行完善,法律专家还表示,银行应该加强对客户的风险提示。上海严义明律师事务所的严义明律师认为,即使银行没有法律上的赔偿责任,但从商业伦理角度来讲,在安全不能完全得到保证的前提下,银行为了商业利润而简化开通手续,这对客户来说是不公平的。
目前,银行对大众版客户的风险提示都不太明确。招行工作人员表示,所有招行的持卡人都自动成为个人网上银行大众版客户,无需任何注册手续。如此,客户根本没有机会从银行那里得到风险提示。工行工作人员则表示,他们不会主动向客户提示:使用大众版网银账户被盗用的风险需由客户自己承担。但如果客户主动问起,他们会如实告知。
在工行个人网上银行网页注册大众版账户时,《每日经济新闻》发现唯一的风险提示出现在“电子银行个人客户服务协议”中,其客户义务中的第五条显示:“甲方(即客户)应按照机密的原则设置和保管密码:……取其他合理措施,防止本人密码被窃取。由于密码泄露造成的后果由甲方承担。”
香港网银推出双重认证
浦发行一位电子银行专家透露,美国的银行一般对外承诺:客户网上银行交易发生风险,银行照单全收。而香港金融管理局、香港银行公会及香港警务处也于今年5月30日联合宣布,香港银行界推出网上银行的双重认证。
报道称,鉴于网上银行服务日渐普及,网上银行诈骗伎俩层出不穷,香港银行界达成普遍共识,认为银行应就高风险的网上银行零售交易推出双重认证。银行将于2005年6月底前准备妥当,以供客户进行双重认证。客户若要进行上述交易,将须采用双重认证。
据了解,香港银行最常采用的双重认证方法有三种:电子证书、通过手机短信发出只用一次的密码,以及由保安显示器发出只用一次的密码。