本報(bào)記者 付玉 特約記者 任國慶

　　法興銀行交易員科維爾非法交易導(dǎo)致49億歐元損失，由此牽出銀行內(nèi)部雇員盜用身份、越權(quán)操作等問題，再度讓銀行業(yè)聚焦“信息安全”問題。

　　不久前，德勤結(jié)束了其2007年全球金融業(yè)信息安全調(diào)查，調(diào)查范圍包括全球169家金融機(jī)構(gòu)，中國地區(qū)的調(diào)查對(duì)象包括國有商業(yè)銀行、股份制商業(yè)銀行，及其在香港的分支機(jī)構(gòu)，外資行在中國的分支機(jī)構(gòu)等。

　　調(diào)查發(fā)現(xiàn)，“在安全破壞上，人(包括雇員)仍然是最薄弱的環(huán)節(jié)。”2月27日，德勤會(huì)計(jì)師事務(wù)所企業(yè)管理風(fēng)險(xiǎn)服務(wù)部合伙人顧向圣稱。由于身份盜用事件的增多，“身份與訪問管理”已被受訪金融機(jī)構(gòu)認(rèn)為是最亟待改進(jìn)的，這種管理能準(zhǔn)確辨別用戶對(duì)信息資源的訪問權(quán)限，降低企業(yè)信息資源的使用風(fēng)險(xiǎn)。

　　現(xiàn)實(shí)的情況是，銀行中遠(yuǎn)遠(yuǎn)低于高管級(jí)別的人員可能在影響股東利益方面，比高管處于更重要的地位。如系統(tǒng)管理員，由于特殊的職位被賦予了“無限大”的訪問權(quán)利，從而可能利用系統(tǒng)漏洞做出可怕的違規(guī)之舉。除了科維爾，大名赫赫的交易員還有因私設(shè)賬戶掩蓋14億美元交易損失而導(dǎo)致巴林銀行倒閉的尼克李森。

　　改進(jìn)后的理想狀態(tài)是，“如果銀行員工進(jìn)行了違規(guī)操作或越權(quán)交易，IT系統(tǒng)會(huì)向信息安全負(fù)責(zé)人發(fā)出預(yù)警，使其及時(shí)制止交易或傳送至銀行高管。”顧認(rèn)為，傳輸通道的獨(dú)立性和信息安全負(fù)責(zé)人的話語權(quán)至關(guān)重要。

　　但目前看來，由于缺少“看門人”，國內(nèi)不少銀行的信息安全風(fēng)險(xiǎn)仍裸露在外。雖然不少大型銀行已設(shè)置首席合規(guī)官和首席風(fēng)險(xiǎn)官，但在業(yè)務(wù)占比越來越大的IT技術(shù)方面，首席信息官和首席技術(shù)官并不多見，首席信息安全官(CISO)更是鮮有出現(xiàn)。

　　按顧向圣的說法，首席信息安全官主要進(jìn)行日常信息安全管理巡邏，從事前規(guī)范、事中監(jiān)控，到事后結(jié)果處理，都參與其中。

　　記者調(diào)查發(fā)現(xiàn)，國有銀行通常的模式是，有相當(dāng)數(shù)量經(jīng)過專業(yè)培訓(xùn)的人員從事信息安全管理，但這些人員一般在分管副行長的領(lǐng)導(dǎo)下進(jìn)行工作。

　　相對(duì)四大國有銀行，深發(fā)展、廣發(fā)行等股份制銀行更愿意將信息安全高管獨(dú)立出來。如廣發(fā)行副行長級(jí)別的運(yùn)營和科技總監(jiān)，就負(fù)責(zé)包括信息安全在內(nèi)的運(yùn)營安全管理工作。

　　德勤在調(diào)查中還發(fā)現(xiàn)，包括銀行在內(nèi)的金融機(jī)構(gòu)對(duì)信息安全問題態(tài)度上自相矛盾：一方面，董事會(huì)及高管已意識(shí)到解決安全問題迫在眉睫，另一方面，他們卻并不認(rèn)為這些問題“屬于”他們，反而認(rèn)為“實(shí)施解決方案是信息技術(shù)人員的事”。

　　這一矛盾在亞太區(qū)(不包括日本)的數(shù)據(jù)上體現(xiàn)得尤為明顯——被調(diào)查機(jī)構(gòu)中，信息安全戰(zhàn)略由業(yè)務(wù)職能部門領(lǐng)導(dǎo)人負(fù)責(zé)推動(dòng)的金融服務(wù)機(jī)構(gòu)幾乎為零。而美國則高達(dá)18%。“這種佯謬是個(gè)全球性問題，在中國更是如此。”顧向圣分析原因有三。

　　首先，中國銀行業(yè)在業(yè)務(wù)與安全管理上的發(fā)展速度不一致。由于銀行業(yè)競(jìng)爭(zhēng)激烈，大部分銀行將主要精力投放在業(yè)績上，而忽視了安全管理；再者，缺乏同時(shí)熟諳銀行業(yè)務(wù)、信息科技、風(fēng)險(xiǎn)管理三方面的人才；第三，由于中國的金融機(jī)構(gòu)超過兩萬多家，大型銀行擁有眾多的網(wǎng)點(diǎn)，而城商行和農(nóng)信社等機(jī)構(gòu)地方色彩較重，監(jiān)管部門在政策執(zhí)行上會(huì)存在困難。