论文部分内容阅读
金融犯罪手段不断升级、手法不断翻新……金融犯罪不仅直接侵害了消费者和银行的合法权益,而且严重破坏金融秩序、威胁金融安全。金融犯罪管理平台却给人“无力感”:只能进行事后的补救,无法实时、有效地处理庞大的交易数量,只能对单一的交易进行监控,误判率过高。
当前,金融犯罪频发,特别是银行卡类案件层出不穷。公安部在今年5月召开的新闻发布会上发布数据,今年1~4月,仅全国公安机关立案的银行卡犯罪案件就高达6700多起,涉案金额达59.6亿元。
如果银行的监控系统,能够在犯罪分子把犯罪所得转移出银行之前,就根据犯罪分子留下的蛛丝马迹,发现异常并采取适当措施,那么银行就可以将损失降到最低。然而遗憾的是,大多数银行还做不到这一点。2010年3月,隐私和信息管理研究机构Ponemon Institute的研究报告指出,只有20%的银行能够在犯罪所得转移出去之前,识别到欺诈行为。
实时监控异常
对于如何提高银行IT系统对欺诈的监控,IBM软件集团大中华区金融服务行业解决方案总经理Danny Tang认为,为了更好地满足监管机构对风险管理及有效打击金融犯罪、降低欺诈损失的要求,金融机构急需建立有效的金融犯罪预防管理平台,这样的预防平台应该包括实时监控、统计分析、案件管理三大模块。
实时监控的难点在于,从一个单一的交易或操作,很难判断它是否属于欺诈。对于密码输入错误、要求变更账单地址或补发卡、网上转账、ATM取款等单一交易,很难区分是客户的正常操作,还是犯罪分子诈骗的一个步骤。Danny Tang认为,许多欺诈是在多个不同的系统中透过似乎是不相关的活动达成的。例如,多次企图登入网银,成功登入后更改密码或地址信息,随后发生大笔资金的转出。所以实时监控模块要能做到全面的感应,要能感应到金融机构不同的渠道、不同的系统和客户相关的应用,感应到形形色色的蛛丝马迹,然后再根据事件规则和属性规则,综合判断某个交易或操作是不是一个欺诈的行为。
犯罪的規律归纳得越精确,银行能收集到的蛛丝马迹就越多,对犯罪的漏判和误判就会越低。然而,金融犯罪手段不断升级、手法不断翻新,既有通过传统的刷卡类交易实施犯罪的,又有通过偷窥、在ATM机上加装盗码器等手法盗取银行卡信息的,还有在网上设置木马程序等手段窃取银行客户信息的,因此制定规则需要及时洞察各种形式和手法的犯罪。对此,Danny Tang认为,金融犯罪智能化管理平台的统计分析模块,能针对海量的历史数据做统计分析,帮助银行建立精确的金融犯罪行为与属性模型。规则引擎与事件引擎的结合,使得金融机构能够设计更精确的欺诈规则,并将这些规则写到解决方案中。
对于一笔疑似欺诈的交易或事件,银行应采取什么行动呢?是发一个短信通知客户,还是暂时封锁账户或派调查员做调查,甚至是直接报警?反应过度会影响客户的正常交易,反应不足则会放过犯罪,导致损失。依靠案件管理模块,银行可以制定适合本银行需要的规则,案件管理模块根据规则做出反应,从而使金融机构关注高度可能的金融犯罪警示,而正常的客户交易则不被干扰。
银行该如何防家贼
来自外部犯罪分子的欺诈固然要多加防范,但回顾中国金融机构的各类型案件,内部员工——“家贼”,多在其中扮演了元凶的角色。在银行内部人员作案中,除了身居要职的高管外,还有IT部门和业务部门的基层员工。
焦作市商业银行首席信息官姜绍军在接受记者采访时说:“做IT人,要凭良心。因为IT人可以利用自己的合法身份,做很多坏事,但凭良心不能去做。”
姜绍军介绍,出于工作的需要,IT部门员工可能拥有重要系统的权限,在某些管理不规范的银行,某些员工甚至有可能掌握不应该有的超级权限。如果某个掌握系统权限的员工思想出了问题,经受不住诱惑,就有可能利用自己合法的身份做不合法的事情。内部员工更清楚业务规则的设计,要是想做一些坏事,会更容易、更隐蔽。
防范内部人员作案,银行应该加强IT治理,防范信息科技风险。姜绍军说:“银行信贷风险是有限的、可度量的,而信息科技的风险则是无限的。”他认为,银行应该加强信息科技管理,制定并落实有利于防范风险的科技管理制度,比如最高权限系统账户的审批、验证和监控。银行应该加强职责划分,对关键或敏感岗位进行双重控制。银行内部应当实行岗位分离,比如数据库岗位和应用系统岗位、系统开发岗位和系统维护岗位、核心系统岗位和稽核岗位。对于敏感数据库的访问授权,应该以“必须知道”和“最小授权”为原则,从而确保安全。
对此,IBM软件集团大中华区新兴市场金融服务部门负责人兼行业解决方案及SOA业务总经理陈永生认为,很多情况下金融犯罪最难以防范的是内部人员。IBM认为,通过不同的复杂事件的关联,可以有效防止内外勾结的金融犯罪。针对合法人员的非法使用,银行可以通过专门的软件来追踪资料库,特别是追踪某些敏感的数据,将对敏感数据的查询、修改都记录下来,这样就可以一定程度上防止内部人员非法使用。有效监控合法身份的非法使用,还体现在使用时间上,金融机构的IT工作人员,在上班时间读取这些敏感资料,是很正常的,但如果追踪到这个员工在三更半夜来读取数据的话,就值得怀疑,需要提高警惕了。
金融犯罪不仅直接侵害了消费者和银行的合法权益,而且严重破坏金融秩序、威胁金融安全。案发后公安机关的立案侦查有利于打击犯罪分子,但要治理金融犯罪,只有依赖于银行加强金融犯罪预防管理系统的建设,实现案发前的预防措施,才能有效降低消费者和银行的经济损失。
当前,金融犯罪频发,特别是银行卡类案件层出不穷。公安部在今年5月召开的新闻发布会上发布数据,今年1~4月,仅全国公安机关立案的银行卡犯罪案件就高达6700多起,涉案金额达59.6亿元。
如果银行的监控系统,能够在犯罪分子把犯罪所得转移出银行之前,就根据犯罪分子留下的蛛丝马迹,发现异常并采取适当措施,那么银行就可以将损失降到最低。然而遗憾的是,大多数银行还做不到这一点。2010年3月,隐私和信息管理研究机构Ponemon Institute的研究报告指出,只有20%的银行能够在犯罪所得转移出去之前,识别到欺诈行为。
实时监控异常
对于如何提高银行IT系统对欺诈的监控,IBM软件集团大中华区金融服务行业解决方案总经理Danny Tang认为,为了更好地满足监管机构对风险管理及有效打击金融犯罪、降低欺诈损失的要求,金融机构急需建立有效的金融犯罪预防管理平台,这样的预防平台应该包括实时监控、统计分析、案件管理三大模块。
实时监控的难点在于,从一个单一的交易或操作,很难判断它是否属于欺诈。对于密码输入错误、要求变更账单地址或补发卡、网上转账、ATM取款等单一交易,很难区分是客户的正常操作,还是犯罪分子诈骗的一个步骤。Danny Tang认为,许多欺诈是在多个不同的系统中透过似乎是不相关的活动达成的。例如,多次企图登入网银,成功登入后更改密码或地址信息,随后发生大笔资金的转出。所以实时监控模块要能做到全面的感应,要能感应到金融机构不同的渠道、不同的系统和客户相关的应用,感应到形形色色的蛛丝马迹,然后再根据事件规则和属性规则,综合判断某个交易或操作是不是一个欺诈的行为。
犯罪的規律归纳得越精确,银行能收集到的蛛丝马迹就越多,对犯罪的漏判和误判就会越低。然而,金融犯罪手段不断升级、手法不断翻新,既有通过传统的刷卡类交易实施犯罪的,又有通过偷窥、在ATM机上加装盗码器等手法盗取银行卡信息的,还有在网上设置木马程序等手段窃取银行客户信息的,因此制定规则需要及时洞察各种形式和手法的犯罪。对此,Danny Tang认为,金融犯罪智能化管理平台的统计分析模块,能针对海量的历史数据做统计分析,帮助银行建立精确的金融犯罪行为与属性模型。规则引擎与事件引擎的结合,使得金融机构能够设计更精确的欺诈规则,并将这些规则写到解决方案中。
对于一笔疑似欺诈的交易或事件,银行应采取什么行动呢?是发一个短信通知客户,还是暂时封锁账户或派调查员做调查,甚至是直接报警?反应过度会影响客户的正常交易,反应不足则会放过犯罪,导致损失。依靠案件管理模块,银行可以制定适合本银行需要的规则,案件管理模块根据规则做出反应,从而使金融机构关注高度可能的金融犯罪警示,而正常的客户交易则不被干扰。
银行该如何防家贼
来自外部犯罪分子的欺诈固然要多加防范,但回顾中国金融机构的各类型案件,内部员工——“家贼”,多在其中扮演了元凶的角色。在银行内部人员作案中,除了身居要职的高管外,还有IT部门和业务部门的基层员工。
焦作市商业银行首席信息官姜绍军在接受记者采访时说:“做IT人,要凭良心。因为IT人可以利用自己的合法身份,做很多坏事,但凭良心不能去做。”
姜绍军介绍,出于工作的需要,IT部门员工可能拥有重要系统的权限,在某些管理不规范的银行,某些员工甚至有可能掌握不应该有的超级权限。如果某个掌握系统权限的员工思想出了问题,经受不住诱惑,就有可能利用自己合法的身份做不合法的事情。内部员工更清楚业务规则的设计,要是想做一些坏事,会更容易、更隐蔽。
防范内部人员作案,银行应该加强IT治理,防范信息科技风险。姜绍军说:“银行信贷风险是有限的、可度量的,而信息科技的风险则是无限的。”他认为,银行应该加强信息科技管理,制定并落实有利于防范风险的科技管理制度,比如最高权限系统账户的审批、验证和监控。银行应该加强职责划分,对关键或敏感岗位进行双重控制。银行内部应当实行岗位分离,比如数据库岗位和应用系统岗位、系统开发岗位和系统维护岗位、核心系统岗位和稽核岗位。对于敏感数据库的访问授权,应该以“必须知道”和“最小授权”为原则,从而确保安全。
对此,IBM软件集团大中华区新兴市场金融服务部门负责人兼行业解决方案及SOA业务总经理陈永生认为,很多情况下金融犯罪最难以防范的是内部人员。IBM认为,通过不同的复杂事件的关联,可以有效防止内外勾结的金融犯罪。针对合法人员的非法使用,银行可以通过专门的软件来追踪资料库,特别是追踪某些敏感的数据,将对敏感数据的查询、修改都记录下来,这样就可以一定程度上防止内部人员非法使用。有效监控合法身份的非法使用,还体现在使用时间上,金融机构的IT工作人员,在上班时间读取这些敏感资料,是很正常的,但如果追踪到这个员工在三更半夜来读取数据的话,就值得怀疑,需要提高警惕了。
金融犯罪不仅直接侵害了消费者和银行的合法权益,而且严重破坏金融秩序、威胁金融安全。案发后公安机关的立案侦查有利于打击犯罪分子,但要治理金融犯罪,只有依赖于银行加强金融犯罪预防管理系统的建设,实现案发前的预防措施,才能有效降低消费者和银行的经济损失。