微信
手机学习
智选
报班
  • 客服热线: 4008-000-428

虚拟银行中的网络安全和技术风险

发布时间:2022年08月19日| 作者:Donald Tse| 来源:转载于ISACA微信公众号| 点击数: |字体:    |    默认    |   

管理网络安全和技术风险是虚拟银行面临的一项重大挑战。尽管网络攻击和系统恢复能力不足可能会对传统银行和虚拟银行都带来不利影响,但对后者的影响可能更大。这是因为虚拟银行的所有产品和服务都是线上的。银行应用程序是整个银行服务的唯一“门面”,所有交易都在客户的指尖上完成。

虚拟银行必须采用一种“符合目的”的风险管理方法,平衡数字化平台和移动应用程序的简单性与便利性与数据保护、网络安全控制以及高度弹性的IT基础设施的关系。 通过使用最新的IT交付技术和网络防御技术增强信任,虚拟银行可以为所有客户提供创新、可靠和安全的银行体验。

虚拟银行VS传统银行的对比

 

虚拟银行主要通过数字化渠道 (包括互联网和移动应用程序) 提供银行服务。虚拟银行的实体业务有限;没有实体分支机构,所有银行服务都是线上的。根据地域对虚拟银行的说法不同,虚拟银行也被称为 “新生代银行” (neobank)或“挑战者银行”(challenger bank)。虚拟银行的业务运营基于应用金融科技(fintech)和创新。技术在明确客户需求以及如何满足其需求方面发挥着关键作用。借助技术驱动(technology-driven)运营和云原生(cloud-native)架构的优势,实现全新的客户体验并促进金融包容性。虚拟银行可以被视为技术驱动的金融服务企业。

 

图片来源于公共图片库

 

如今,几乎所有的传统零售银行都为客户提供了某种数字化体验。但是,大多数服务产品是零散的,仅保留实体分支机构提供的部分服务。传统零售银行使用传统系统和基础设施以传统方式成功运作。即使在受数字化转型驱动的传统零售银行中,技术在实现业务运营所需的技术功能方面也仅起到支持作用。这些企业充其量只是科技公司经营银行类业务的先驱 (即采用金融科技的银行)。

虚拟银行希望与以多种方式提供在线服务的传统零售银行有所不同:

 

  • 升级版端到端的客户体验在当地银行分支机构排队办理业务的场景已不复存在。通过虚拟银行,客户可以享受无缝高效的银行体验。虚拟银行的初始阶段包括简单的银行产品和服务,包括便捷开户,提供有竞争力的存款利率,以及有吸引力的贷款优惠。技术驱动的虚拟银行正在努力利用大数据分析更快地批准贷款,采用快捷支付系统,与自动平台集成以管理资金 ,并通过聊天机器人提供24×7的实时银行体验。目标是提供一个全面的平台,处理客户日常生活中的基本需求——购物,餐饮,住宿,交通,医疗,保险,账单支付,财富管理——一切尽在客户的掌控之中。

 

  • 技术驱动的业务模式创新的数字化服务不仅能够提供客户与银行之间互动的接口,监管科技 (regtech) 在支持和促进银行与监管机构之间互动方面的重要性也不容忽视。随着全球法律法规越来越复杂,立法区域扩大且越来越严格,同时必须处理的交易和数据数量不断增加,因此,正是实现合规自动化的正确时机。例如,增强的开户体验只能通过电子“了解你的客户”(eKYC)流程,结合大数据分析和机器学习来实现欺诈和反洗钱监控流程而受益。虚拟银行业务是由从前端到后端的技术驱动。

 

  • 敏捷的工作模式—虚拟银行的运营模式已从流程驱动模式转变敏捷的工作方式。技术交付上,通过小规模重复迭代的持续部署允许在每个sprint中改进并吸取经验教训。这种模式遵循创新精神——小处着手,快速失败——并实现产品和服务的快速交付。网络安全实践也遵循敏捷的工作模式,包括调整安全补丁计划和审查安全配置。敏捷的工作模式不仅限于技术交付,还包括所有银行业务流程,如财务、运营和人力资源管理。

 

  • 促进金融包容性——“金融包容性意味着个人和企业能够获得有用且负担得起的金融产品和服务来满足他们的需求——以负责任和可持续的方式提供交易、支付、储蓄、信贷和保险。”传统零售银行通过其广泛的分支网络实现金融包容性,而虚拟银行则通过其较低的边际成本实现金融包容性。虚拟银行的运营成本更低;例如,与传统零售银行不同,它们不必为众多分行支付租金,这一成本节约会让客户从中受益。尽管初始为虚拟银行建立IT基础设施的成本可能很高,但强健IT系统的可扩展性降低了吸引新客户的增量成本。这些成本节约可以通过提供更具吸引力的利率回馈给客户。因此,虚拟银行不会对其客户提出最低账户余额或低余额费用要求。

 

图片来源于公共图片库

 

虚拟银行面临的关键风险因素


 

虚拟银行的出现改变了银行的运营模式,同时,新兴虚拟银行的风险状况与传统零售银行的风险状况也有所不同。由于虚拟银行业务模式对技术的严重依赖性,其面临的关键非金融风险因素包括:

 

  • 信息和网络安全风险——一家全新的原生数字银行是网络犯罪分子的高危目标。围绕新兴虚拟银行推出的许多宣传活动可能会增加网络攻击的可能性。例如,一家中国的虚拟银行在上线第一天就遭遇了分布式拒绝服务(DDoS)攻击,导致服务严重延迟。由于未经授权的访问或网络攻击而导致的数据泄露和机密信息泄漏可能会导致增加合规成本和银行声誉严重受损。对于传统零售银行来说,成功的网络攻击是一个严重问题,但它可能会对整个虚拟银行特许经营的业务造成致命影响。为了应对日益增加的固有网络风险,需要一个专家网络防御团队和一流的网络防御工具。

 

  • 技术稳定性和韧性风险——虚拟银行对技术的依赖增加了其因IT系统不稳定引发的风险。他们需要管理更广泛的技术堆栈,并需要广泛使用供应商和新技术。因此大大增加了他们对技术问题和网络威胁的暴露——无论这些问题来源于银行IT系统、人员、第三方还是第三方系统。例如,虚拟银行的促销活动在推出初期吸引了超过预期数量的客户,从而导致系统容量问题。任何系统不稳定都可能不仅导致财务损失,还可能导致潜在的声誉受损,并可能引起监管的审查。简单地说,从网络安全和技术治理的角度来看,虚拟银行需要更多的保护和维护。

 

  • 个人行为风险——高级管理层的认可对于任何组织成功实施网络安全计划都至关重要,更不用说技术驱动的虚拟银行了。根据管辖权的不同,董事会成员或高级管理层可能会因任何网络事件或数据泄露而承担个人责任。创新是虚拟银行的DNA,它们通常拥有高素质的员工,但在创新和网络意识之间取得平衡很重要。点击网络钓鱼邮件或接听社会工程电话这样简单的事情可能会泄露机密数据。

 

  • 管风险——作为一家完全获得牌照的银行,虚拟银行应遵守所有适用的法规。由于现有法规尚未修订以跟上技术的快速变化,新的业务流程和新技术的使用可能会带来合规性差距。许多金融行业法规基于原则而非规则,因此讨论和解释现有法规要求如何适用于新技术可能是不可避免的。随着虚拟银行的发展越来越成熟,法规要求可能会更有利于创新。例如,在香港,法规要求所有虚拟银行都达到网络安全韧性成熟度的高阶水平。但是这与传统银行不同;他们可以根据固有的风险评估结果选择网络安全成熟度。

 

  • 第三方风险——在技术驱动的业务运营中,采用某些供应商产品是不可避免的。完成云治理和第三方尽职调查流程可能是一项艰巨的任务。确保供应商(无论规模大小)遵守银行的网络控制水平至关重要。完整的尽职调查流程不仅包括审查政策和标准,还包括对运营和控制证据的现场审查。银行的法律顾问还应制定有关供应商信息安全的标准化法律条款。对供应商的大规模持续监督存在一定的复杂性,尤其是对软件即服务(SaaS)供应商。但是,重要的是要记住,即使技术和业务活动以共享责任模式外包,不意味着责任也是外包的。银行董事会和高级管理层仍然负有责任。

 

©摄图网

 

如何降低风险


 

受监管的虚拟银行总体上应具有低风险偏好,对于任何重大违规行为,应具有零风险偏好。为了降低银行的风险状况,应制定一套全面的风险管理方法,包括以下几个部分:

  • 强有力的治理——高层的态度对风险管理来说至关重要。必须建立明确的角色和职责,并定期与业务领导层沟通。同时,应根据虚拟银行环境对现有的风险管理框架进行调整。

 

  • 明确的指导原则——分为两类控制措施,强制性和可取性。强制性控制措施绝不应妥协,包括客户保密性、客户存款保护和反洗钱。因此,必须采取数据加密、安全配置、及时修补和高可用性系统架构。同时,应与董事会设定的风险偏好水平保持一致。控制措施是强制性或可取性也取决于产品交付阶段。沙箱环境中的控制要求可能不那么严格,但在实际生产环境中则是强制性的。“监管沙箱是监管机构建立的框架,允许金融科技初创企业和其他创新者在监管机构的监督下,在受控环境中进行实时实验。”例如,就IT韧性而言,在沙箱环境中,某些中断更容易被容忍。

 

  • 定期风险评估和控制测试——鉴于虚拟银行的业务环境更加动态,与传统零售银行相比,必须更定期地检测控制中断。当采用基于风险的方法时,IT环境和关键控制的重大变化将会受到更大规模的抽样审查,而且审查更频繁、更深入,保持与敏捷的工作模式的一致。根据项目阶段的不同,将采取不同类型的风险评估方法(例如,快速风险评估、深入分析、全面解读)。应参考COBIT® 和美国国家标准与技术研究所(NIST)等国际公认的框架作为控制基线,建立网络安全和技术风险与控制库。

 

  • 补救措施监控——应实施对补救措施的密切监控,以修复任何已识别的差距。在技术方面,定期进行系统快照、信息加密传输、定期升级补丁和开展系统审查对于确保稳定和安全的IT环境至关重要。

 

  • 风险意识——风险管理是每个人的责任。流程负责人应了解并遵守银行的风险容忍度。应建立积极的风险文化,为员工提供与职业相关的奖励,以确保个人问责制。

 

 

 

©摄图网

 

敏捷的风险咨询框架


 

为了在实现创新环境和安全运行之间取得平衡,可以使用与敏捷工作模式相一致的分阶段方法。分阶段方法包括:

 

  • 头脑风暴——在低风险监督下进行头脑风暴式探索性讨论,以避免阻碍创新

 

  • 探索——适度风险监督,并记录风险考虑因素

 

  • 解决方案设计——具体讨论,包括针对既定网络安全和技术风险及控制基线对关键控制进行初步风险审查

 

  • 持续交付——高水平的监督和全面的风险评估,包括抽样,以确保与产品发布的风险偏好保持一致

 

 

虚拟银行不会引入新的风险类型。但是,风险管理者必须做好准备,聚焦技术管理不同的风险状况。一旦设定了适当的风险偏好,就可以对风险进行管理,然后进行定期风险识别和及时补救。充分利用监管沙箱在受控环境中测试新产品或服务,以确保发现和管理任何风险因素。

 

结论

传统意义上,银行并不是那么的对技术有洞察。但是虚拟银行在许多方面不同于传统零售银行—从其运营方式到它提供的客户体验。在2008年金融危机实施重组十多年后,银行业目前在技术应用方面处于增长阶段。由于虚拟银行的兴起,网络安全和技术风险专业人士正面临不断变化的威胁形势,需要他们在评估和管理相关风险时调整自己的视角。增强的网络和技术弹性风险状况需要对工具的专业知识、强化的意识和智能化流程集成。

热销商品推荐
学员心声