从光大证券“乌龙指”到财付通多起账户被盗事件,互联网信息系统安全成为社会关注的重点。作为我国信息化前沿的核心行业,银行业的信息安全形势和自主可控体系一直是行业建设的重点。保障金融信息安全也更符合十八届三中全会《决定》“加强金融基础设施建设,保障金融市场安全高效运行和整体稳定”要求。
12月3日,中国银行业信息科技风险管理2013年会暨银行业信息科技风险管理高层指导委员会全体会议召开,会议主题为“安全可控促发展 自主创新推转型”,会上宣布建立银行业自主可控信息技术创新战略联盟机制,推动落实信息科技外包风险联合监督平台和外包合作组织机制,并进一步加强统筹和引导,着力解决一些关乎全局、影响长远的问题。
“要牢牢守住信息安全底线。”中国银监会副主席郭利根在会议上强调,银行业信息科技工作要牢牢守住信息安全底线,切实开展科技顶层设计,深入落实“创新驱动”发展战略,深化银行科技工作体制机制改革,全面激发自主创新活力,以科技创新推动银行业发展转型,以科技引领提升银行业核心竞争力,不断增强风险抵御能力。
营造良性生态环境
加速科技成果的商业化运用,以应用和市场需求倒逼技术创新
“银行的业务已经离不开网络,倒退回去没有可能。”郭利根在会议上表示,银行业自主可控信息技术创新战略联盟将围绕国产信息技术应用落地的关键问题,开展技术合作,实施技术转移,加速科技成果的商业化运用,以应用和市场需求倒逼技术创新,培育国产信息技术在银行业应用发展的良性生态环境。
当下,加速信息技术的自主创新和商业化运用不仅是保障国家金融安全的重要一步,更关乎每一个金融消费者的财产安全。
国家网络信息安全技术研究所所长杜跃进认为,目前,我国网络空间安全面临重大挑战,一些与IT相关的关键设备和技术受制于人,其中存在的安全隐患不言而喻,这种威胁不仅是国家层面的,也将影响到每一个人。因此,进行信息技术的自主创新尤为重要。
需要看到,银行业自主可控信息技术创新战略联盟机制的建设是银行业科技顶层设计的内容之一,推动落实信息科技外包风险联合监督平台和外包合作组织机制、出台商业银行的信息科技风险评估规范等,也将成为监管层信息安全工作的着力点。
“‘棱镜门’、‘监控门’等事件相继发生,使得整个互联网安全感降低,信任度下降。此外,针对电子银行的网络钓鱼、诈骗、持续攻击从未间断。随着互联网金融高速发展,部分互联网金融技术风险会传导至银行体系,这种风险回传,虽然不会造成新的技术风险,但因此造成的银行连带法律和声誉风险也需要引起警惕。”郭利根指出,银行业必须提高责任心,减少不该发生的突发信息风险事件。
自主创新促转型
将新型信息技术应用到银行业务中来,是银行面临竞争的必然选择
随着电商、网络融资平台发展进入“快车道”,银行业面临的外部竞争压力加大。这种压力在对传统银行业务、经营方式和盈利模式产生深刻影响的同时,也造成了银行客户、资金和业务的分流。其中对银行影响最大的是大量有价值的信息也被分流到外部,这些信息的流失将影响银行基于互联网的相关业务的开展。随着利率市场化步伐的加快,银行业内竞争日益激烈,也使得银行更重视利用现代信息技术加强产品和服务创新,以提升其核心竞争力。
“单靠政府的扶持成就不了世界级的科技先锋,必须真正发挥市场的决定作用,建立有利于市场发挥作用的机制。”郭利根表示,银监会鼓励银企开展技术合作,实施技术转移,加速科技成果的商业化运用,推动科技创新能力的有效提升,实现真正意义上的自主可控。
强化外包监管
推动成立信息科技外包风险联合监督平台和外包合作自律组织也是落实科技顶层设计、保障信息安全的另一核心
当前,银行业市场竞争越来越激烈,银行业大量通过外包来获取外部技术、推动信息科技发展,加快与银行业务经营战略的对接,IT外包成为银行业普遍采用的商业模式和战略发展手段,尤其是中小银行外包项目在全行信息科技项目总数中的比例已经超过三分之二。
外包中开发错误、操作失误导致银行业务系统中断事件时有发生,外包活动的科技风险还游离在银行业科技风险的管控体系之外。银行外包集中度过高、外包服务机构缺乏监管,运行和安全管理能力不足,已发生多家银行服务同时中断的系统性风险事件。银行业IT外包的内容也逐步从非核心领域向关键业务系统、数据中心等核心领域全面渗透,由此产生的潜在、系统性风险积聚,可能对银行业系统安全稳健运营造成影响。
在关键基础设施领域,金融机构选用的基础软硬件设备如核心网络、主机、数据库、存储设备等大多集中在几家国际化大型公司手中,这些公司处于技术和市场垄断地位,已成为银行业科技服务的基础和关键。此类服务商对银行业“高度重要”,其产品价格的垄断可能导致整个银行业的成本增加,更重要的是其外包服务的安全、可靠和持续性,将直接对银行业科技服务体系的运营秩序产生影响。
“当前外包行业整体不成熟、竞争不充分。”郭利根介绍,银监会充分发挥银行和社会化力量,一方面组织银行业金融机构建立了银行业信息科技外包风险联合监督平台,集中开展对高集中度、重点外包服务活动的持续性风险监控和现场核查,形成对外包服务行业的风险管理压力,促进其加强风险约束和规范化运营,防范系统性风险发生。
另一方面,充分发挥市场的决定作用,推动自愿承诺加强服务规范化、接受平台监督的外包服务机构,成立了银行业信息科技外包服务合作组织,通过外包服务机构的自我约束和自我完善,推动银行业信息科技外包服务市场规范化和行业自律,共同防范风险。