第四章 网络银行技术风险防范体系的建立
络银行技术风险的基础上,才能将对技术风险的防范进行下去。
因为网络银行的发展突飞猛进,网络银行的技术风险同样也在不断地变化,具有一定的可变性,因此对于技术风险的识别应该是一项持续性和系统性的工作,要求网络银行密切关注技术风险的变化,以及由于技术革新所引发的一些新的风险。
从第二章我们可以知道,网络银行的技术风险主要是指由于技术方面的因素所引发的风险,比如计算机硬件的故障、软件设计缺陷所导致的系统错误、网络银行内部人员操作失误、以及网络黑客的入侵和计算机病毒的侵袭等因素给网络银行造成或可能造成的损失都称之为技术风险。
网络银行的技术风险主要包括:安全性风险和技术选择风险。 1、技术选择风险
由于网络银行的特性,一个网络银行的业务开展,最先都是需要一套技术方案来做支撑。只有确定了技术方案,才能将下一部工作进行下去。但是,没有任何技术方案是完美的,每个技术方案都可能会出现设计上的缺陷,或者是出现操作上的失误。银行在技术解决方案的选择上,通常通过下表的方式来完成:
技术方案的选择 通过自身的研发部门
自我研发完成
? ?
优 点 系统的设计能够满足网络银行的特殊需求; 能够提供独有的产品与服务;
直接购买并进行调整
?
成本与自我研发相比较? 低; ?
能够自我对系统进行调节以提高差别性服务;
购买但不进行调整
?
对系统维护的技术水平? 要求不高;
外包给IT技术公司
? ?
技术要求最低; 提高了方案投入使用的速度; ?
降低了初始成本。
? ? ?
对系统的维护成本较高; 对系统的维护和调整要求有一定的IT技术水平;
无法提供特制、有差别的的产品或服务; 定制个性化的产品与服务的能力有限; 需要对外包过程进行监督,以控制风险。 ? ?
缺 点
开发与维护的成本较高; 对技术水平的要求较高;
图4-2 技术解决方案的选择方式及其优缺点
在我国,通过直接购买的方式并不常见,网络银行主要使用的另外两种途径:
27
网络银行技术风险的防范与监管研究
一种是网络银行通过技术外包的方式将技术解决方案外包给专业的IT技术公司,另一种是通过自己的研发部门来完成技术方案的开发。这两种途径各有各的优势及劣势。
(1)通过技术外包的方式,将网络银行的技术解决方案外包给专业的IT公司,由IT公司根据网络银行的实际情况设计并开发出合适的技术解决方案,并提供定期的更新以及维护。如果网络银行通过外包的途径来实现技术解决方案的话,无论网络银行选择哪家公司,采取哪种方案,都可能会给网络银行带来以下的风险:若网络银行所选择的IT公司的IT技术比较落后,所给出的方案无法经受住日新月异的信息时代的考验,那么网络银行不仅要面对巨大的经济损失,还会造成网络银行的信誉损失,甚至可能导致网络银行错过巨大的商业机会;即使最初选择时,网络银行选择了一家具有竞争力的IT技术公司,在以后的经营过程中,IT技术公司还可能会因为经营不善等原因终止服务,这同样会对网络银行的经营造成影响;并且,由于外包的缘故,IT技术公司或多或少会对网络银行的具体情况缺乏了解,就可能导致技术解决方案不一定完全适合具体的网络银行;而且,技术外包可能使得网络银行的客户数据和交易数据等有发生泄漏的可能;最后,网络银行持续地将技术解决方案外包还可能使得网络银行过于依赖外部力量来解决网络银行可能面对的各方面的技术难题,这一方面可能会加大网络银行解决困难的成本,另一方面同样可能导致网络银行数据的泄露风险。由此可见,如果网络银行技术方案选择不当的话,将造成不可弥补的、不可估量的巨大损失。
(2)另一种情况是网络银行自己有开发研究部门,网络银行的技术解决方案完全通过自身研发来实现。如果网络银行通过自己的研发部门来解决技术方案,相对于将其外包出去而言,减少了许多诸如数据泄漏、技术依赖等风险,并且能够将全部精力投入到技术方案的设计与实施中,还能及时对网络银行系统进行维护与更新;但网络银行自己研发的同时会增加网络银行的经营成本,方案研究与开发的周期将会比较长,并且网络银行自身的研发部门虽然在对自身情况了解方面更具优势,但其是否具有技术优势还是个未知数。
据统计,美国银行业的IT技术经费中有近60%用于外包业务,由此可见技术解决方案外包还是略占优势的。不过,网络银行是将技术解决方案外包,还是自己设计开发,都应该根据自身的实际情况出发,全方位考虑自己的优势与劣势来进行选择。由以上分析可知,在网络银行的风险中,最具有技术性的风险是信息技术选择失误造成的风险。
28
第四章 网络银行技术风险防范体系的建立
2、安全性风险。
安全性风险在传统银行经营的三性原则中就是居于首要位置,银行的安全性
是银行正常运营的前提与基础。而对于在开放性网络环境下运营的网络银行来说,就更加凸显出了安全性风险的重要性。一旦网络银行的安全性出现了问题,不仅仅会给网络银行造成直接的经济损失,还会对网络银行的声誉造成极大的损害。网络银行的安全性风险主要有以下几个方面:
(1)网络银行的硬件故障等所造成的风险。由于网络银行所提供的是全天候服务,因此对网络银行的服务器等各类硬件设施要求比较高,一旦网络银行的硬件设备发生了故障,将使得网络银行所提供的服务出现间断期,并对网络银行的经营和声誉带来不利影响。网络银行的硬件设备故障主要包括由于无法预测的突发性事件或自然灾害所导致的硬件设备损坏、计算机系统停机等,如地震、水灾、火灾;以及网络银行系统运行的环境无法达到要求而导致的硬件问题,比如网络银行服务器所放置的房间内温度没有得到有效控制,系统的供电不稳定等可以人为改善的原因。
(2)网络银行软件故障带来的风险。又分为由于操作系统的漏洞和不稳定、防火墙无法抵御外来进攻、以及系统自身的缺陷所导致的系统崩溃。世界上没有绝对完美的系统,任何程序都存在或大或小的缺陷与漏洞。不论是网络银行所运行的操作系统还是网络银行自身的程序都可能在设计上或者是功能上存在一定的缺陷,比如操作系统Windows就存在无数的漏洞,需要用户及时下载补丁对系统进行修补,但对系统进行修补的同时还可能带来新的漏洞;又比如网络银行应用软件的设计可能存在Bug或缺陷,可能造成使用的错误甚至系统的崩溃。
(3)黑客入侵以及计算机病毒所造成的损失。网络银行基于Internet的特性决定了网络银行容易受到网络黑客的攻击与计算机病毒的侵扰。网络银行的开发性,给了网络上的黑客可乘之机,一旦被黑客入侵成功,则可能使得网络银行面临直接的巨额资金损失,并且还有可能使网络银行的客户信息被泄露,商业机密被窃取。比如,1995年8月21日,设防严密的美国某银行网络系统,被黑客通过Internet入侵,损失高达1160万美元,为搞清楚原因并防患于未然,该银行
[3]
不惜耗用上亿美元让入侵者讲述入侵的秘密和详细策略。美国第一安全网络银行
开始营业后的前6个月,遭到网络黑客1.5万次的攻击。根据美国官方统计,全美银行每年在网络上被偷窃的资金达6000万美元。[4]计算机病毒是一组能够自我复制的计算机指令或程序代码,它能够在计算机程序中插入对计算机硬件或软件
[3][4]
戴相龙,《商业银行经营管理》,中国金融出版社1998年版,第12页。 黄国甫,《欧洲商业银行零售、信用卡业务的发展及启示》,现代商业银行导刊,2000年第6期。
29
网络银行技术风险的防范与监管研究
造成破坏以及删除或篡改数据的功能,更甚者,诸如木马之类的还能够盗窃计算机使用者的信息和数据。它具有破坏性、复制性和传染性。计算机病毒主要通过互联网传播及扩散,一旦网络银行不能有效地防范计算机病毒,不慎被其感染,将对网络银行的信息与数据造成严重的破坏,给网络银行带来直接的经济损失,并可能严重的损害网络银行的信誉,给网络银行带来致命的打击。
(4)由于人为操作给网络银行带来的风险。网络银行的人为操作给网络银行带来的风险主要来自网络银行的内部员工与网络银行客户。网络银行内部员工一方面由于工IT技术达不到要求,或者网络银行的操作指引不够详细地时候都可能造成员工操作失误;另一方面网络银行内部人员可能故意利用网银系统的漏洞或缺陷非法获得网络银行交易与客户数据并且还可能直接窃取网络银行的资金,给银行造成严重的经济损失。在网络银行的用户方面,存在网络银行对网银客户的风险教育不够、给网络银行客户的软件操作指导不够详细的情况,会给网络银行及其用户带来不必要的损失。
综上所述,技术风险不论是在网络银行的外部还是网络银行的内部,对于网络银行的安全运营都有很大的影响。只有有效地控制了网络银行的技术风险,才能保障网络银行的安全、稳定经营。
§4.3 网络银行技术风险的衡量
进行了风险识别之后,就是对网络银行的技术风险进行风险的衡量。只有在衡量了网络银行的技术风险的前提下,才能对技术风险进行有效地控制。风险衡量的方法主要有两种,定性分析和定量分析。风险的定性分析是指对风险的性质与特点等进行文字性的描述。在传统银行业的风险衡量过程中定性分析占了主要地位。定量分析则需要运用计量经济学和统计学的方法,用数学语言来对网络银行的技术风险进行评估。在网络银行的技术风险衡量中,定性分析与定量分析应该是统一的,相互补充的。定性分析是定量分析的基本前提,没有定性分析的定量分析是一种盲目的、毫无价值的定量分析;定量分析使定性分析更加科学、准确,它可以促使定性分析得出广泛而深入的结论。
正确地对技术风险进行衡量,对于网络银行的技术风险控制是非常重要的,因为它对于网络银行何时采取风险防范措施,以及采取怎样的防范措施都有十分重要的指引作用。
由于网络银行的技术风险有很多明显是模糊的问题。比如对黑客的防御程度,不能简单地用“好”或者“不好”来形容,或者很难判断出“好”到什么程度或者“不好”到什么程度。因此,我们希望通过模糊判别理论,使用模糊综合评价
30
