银行信息技术风险来自何方
来源:金融时报 更新时间:2012-04-15

 
  7月15,汇丰银行网上理财服务曾出现短暂故障,20多分钟客户无法登入,而恒生银行网上银行系统亦因与汇丰银行的相关系统出现问题,而同步故障约半小时,令客户无法登入有关网上银行系统。这种情况似乎并不鲜见,今年5月,日本三菱东京联合银行曾宣布,由于启用新系统,当天这家银行与超市合作的ATM发生故障,无法提取现金,据统计,两个小时内,共有16500笔交易无法进行。当前,金融信息化的发展推动了金融业产业结构的调整和升级,从根本上改变着传统的金融业务处理模式。可以说,没有信息技术的支撑,就没有现代银行业。然而,信息技术在极大地促进了银行业的发展,为银行业提供了巨大发展机会的同时也使银行业面对很大的技术风险。银行业务已高度依赖于信息技术系统,信息技术风险已成为银行操作风险的重要方面,特别是在业务连续性、业务恢复、风险化解和转移等方面,存在着明显的风险。国外金融市场因为信息技术失效引起的银行损失案例比比皆是,中国银行业也不例外,每年公开报道的、给客户造成重大影响的金融信息技术失效事件也不少。

  银行信息技术风险比较常见的表现形式有系统响应时间过长,系统宕机,服务中断;客户信息泄露,客户账户资料或者客户身份被冒用;银行电子渠道遭受攻击,比如黑客入侵、拒绝服务攻击;病毒入侵;数据记录不完整或不正确,自然灾害带来的设备、数据的毁损、服务中断等等。

  银行信息技术风险主要来自以下几个方面。首先是数据大集中后带来的风险。近年来,我国各大银行纷纷从原有的数据分布式处理模式,逐渐转向了数据大集中处理模式。数据集中为银行的改革与金融创新提供了重要的技术手段和条件,为各金融机构带来巨大的收益,但同时也带来银行技术风险高度集中的新问题。近几年,随着银行业数据大集中的不断推进,国内各银行的信息技术服务大范围中断的案例时有发生。去年,就发生了数起信息科技风险事件,个别金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,造成了一定程度的社会影响,引起各方面的高度关注,其教训必须引起国内金融机构的高度重视。分析其中原因,数据大集中后灾难备份中心滞后、监控滞后、应急体系建设滞后和对集约化数据中心安全生产管理不足是造成银行业信息技术服务中断的主要原因。

  其次是银行信息化建设外包机制带来的风险。目前,各银行大多数高端软硬件设备都是进口的,同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位,产权转移不彻底,核心技术受制于人,存在严重的安全隐患。

  再次是互联网金融服务的发展,遭到黑客和病毒的攻击,带来极大的安全风险。金融业务与服务创新一直是近年我国银行业研究的主题,而借助网上银行、电话银行、自助银行、手机银行等多种渠道实现银行业务与服务创新,也一直是我国各商业银行业务与创新的主要手段。目前,各商业银行正在依靠信息技术为客户提供全天候服务,向客户提供信息检索、网上支付、转账、贷款、代缴各种费用、债券买卖、个人理财等一揽子金融服务。但随着金融网上业务的拓展,诸如信用卡号失窃、电子欺骗等金融犯罪活动逐年增加,来自互联网的各类攻击、病毒及黑客入侵对金融信息系统的安全带来巨大威胁。我国电脑用户的网上商业行为越来越多,很多黑客的行为从纯粹的攻击兴趣转为非法牟利,通过网上攻击获取用户密码窃取账户钱财的事情时有发生。

  信息网络技术与信息网络安全是相生相伴的。只要计算机、网络与信息系统存在一天,黑客现象就不可能被杜绝或消灭。黑客水平是和信息产业的技术水平同步发展的。美国安全人士曾告诫美国政府,美国的安全在一定程度上取决于网络安全,并把网络形容为美国国家安全的一个“软肋”,敏感部门的网络一旦被击破,美国社会将陷于瘫痪。因此,美国投入大量人力物力防止黑客入侵。金融是现代经济的核心,金融信息系统遭受攻击危害巨大。

  还有目前银行业信息科技系统基础建设滞后于业务高速增长带来的系统连续运行风险。国内很多银行核心业务系统主机容量使用率超过60%,高于国际标准。近年来,我国的金融市场空前繁荣,证券、基金等理财服务呈爆炸式增长,给银行原有的信息技术系统造成了巨大的压力。我国银行业的信息技术应用在新业务方面相对滞后,很多新业务的发展缺乏信息技术系统的支撑。因此,如何适应市场变化满足业务快速增长的需求,是银行信息技术部门面临新的挑战。

  银行信息技术风险还来自于其他很多方面。比如系统管理粗放带来的风险。随着银行信息技术重要性的增强和业务创新项目的日益增多,银行信息技术部门管理风险不断增加。目前,大中型银行同时在建的信息技术项目往往都有几十上百个,银行的信息技术部门要顺利推进这么多项目,需要丰富的项目管理经验和先进的管理工具。另外,面对纷繁众多的原有系统以及银行并购后多套系统并立的局面,如何整合原有系统和业务流程以支持新的发展战略,也是银行信息技术系统建设面临的新问题。

  信息技术风险管理和风险防范是一个长期的过程,绝不可能一蹴而就。通过一个阶段的风险防范,或者几个技术方案,决不可能解决未来所有的风险。随着外部环境和银行自身的变化,新的风险还会不断滋生出来。这就要求银行必须将信息技术风险管理和防范当作一个持久、连续的工作来完成。这样才能有效地管理和防范信息技术风险,最终达到业务连续性的目标。