来源:银行联合信息网(ID:yinlianxin888)

发现银行网银漏洞，套取银行千万资金

2014年7月19日，小卫（化名）发现，通过银行网银系统将其在某银行个人账户中的资金转至另一家银行个人信用卡绑定的虚拟卡账户时，该虚拟卡账户显示的到账金额比实际转入金额竟然增加了一倍。

一开始，小卫以为只是偶然事件，但随后他测试发现，确实是银行系统有此漏洞。之后，小卫用自己名下的储蓄卡和4张银行信用卡，及以父亲姓名办理的3张银行信用卡，不断进行重复操作，将储蓄卡账户的资金转到个人信用卡绑定的虚拟卡账户上，待资金虚增一倍后，再将资金从虚拟卡账户通过绑定的个人信用卡刷卡转回储蓄卡账户，或将资金从虚拟卡账户转至自己控制的其他个人银行账户再转回储蓄卡账户的方式，反复循环操作。11天的时间，小卫操作248笔，账户上虚增资金共计3528万余元。

由于部分虚增资金上账滞后、银行监控系统冲正等原因，截至案发时，实际被套取的虚增资金有1935万余元。同时，小卫在操作过程中还超额透支了银行资金769万余元，两项实际到手的资金共计2704万余元。

2014年7月29日，被套取资金的某银行湖北省分行发现小卫操控的7张信用卡账户上密集发生大量资金频繁进出，且转出资金远超转入资金，不符合信用卡使用规则，造成超限额透支，遂通知发卡行江汉支行。次日，江汉支行向公安机关报案。公安机关经侦查，于当日23时许，在江岸区的一家酒店将小卫抓获。

案发后，公安机关对小卫转出和使用的部分资金循迹查获，追回金额677万余元。被套取资金的银行分别通过打电话、上门等方式多次让小卫还钱。2015年4月前，小卫归还了102万余元，至今仍有1925万余元无法偿还。2015年6月22日法庭开庭审理了此案，并宣布择日宣判。

商业银行信息科技风险防范不足

目前，随着科技高速发展，银行电子产品业务越来越多，网上银行，手机银行的功能也不断推陈出新，竞争也越发激烈。而由于各项软件的漏洞而引发的风险加速暴露。本案例中银行网银存在漏洞使得被告有机可乘，套取银行资金，使得银行蒙受损失。本案例中银行面临此风险应归类为信息科技风险。信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及推出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。

信息科技风险产生的原因主要包括：（一）系统灾备机制不健全，应急预案不完善。（二）商业银行信息系统建设实行外包机制，潜在风险较为突出。（三）日益增多的应用信息系统未实现有效整合，系统安全风险加大。（四）科技软硬件基础设施薄弱。（五）信息系统运行保障能力不足，存在数据备份损毁的风险。（六）信息系统安全存在风险隐患。（七）预警监测体系亟待完善。（八）科技信息衍生品风险管理不到位。

防范信息系统风险建立信息科技风险管控体系是关键

商业银行应借鉴先进金融机构的良好做法和国际标准，从业务需求出发，在组织机构、人员、技术和流程四个方面加强信息科技风险管控，研究建立信息科技风险管控体系，做到事前有预防、事中有控制和事后有检查，将技术防范为主的被动信息安全工作，转变为以预防为主的主动信息科技风险管控。

（一）加强对商业银行业信息科技风险管控工作的组织领导。建立全系统自上而下的信息科技风险管控体系，落实信息科技风险管理和防范责任，内外合力，齐抓共管，处理好业务发展与信息科技风险防范之间的关系，加大对信息科技的投入，积极采取措施消除信息科技风险重大隐患。高度重视科技队伍建设，打造一支稳定、团结、高效的科技队伍，要加强复合型人才培养，有针对性地组织对信息科技人员培训，加大人才引进力度，有效集成人力资源，建立与信息科技风险防范相关的激励和奖惩机制，形成信息科技风险防控合力，为商业银行业务发展和科技风险的管控提供强有力的人力保障。

（二）加强对信息科技重点环节的风险防范。一是要提高信息系统运行保障能力。加大科技软硬件设施投入，消除单点故障隐患。完善各项管理制度，制定应急预案并组织演练，提高抗风险能力和突发事件应对能力。二是完善信息系统安全运行体系。对机房、网络设备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安全评估。设立信息科技风险管理部门及岗位，严格执行开发、运行、维护等岗位分离及关键岗位的 AB 角配备，完善相关管理制度。三是加强项目外包风险管理。对外包公司的规模、技术水平、业务保障能力、保密等进行全面评估，在外包合同中明确要求外包公司提供系统核心源代码及相关信息。尽快提高银行科技人员核心业务系统自主开发能力和系统安全策略自主配置能力。四是加强业务系统风险管控。对由于IT系统的缺陷和不足引发的案件，要总结教训并认真整改，做到人员控制、制度控制、系统控制三到位。

（三）健全灾备机制，确保业务连续运行。商业银行在数据大集中后，仍应注重保证本地使用数据的安全性，对一些数据要求相对高的交易数据，应采用硬件双机备份或者应用程序备份方式。独立法人机构应加快异地灾难备份中心的建设，确保数据的安全性、完整性；在网络灾备方面，暂时没有条件启用主网和辅网双路并行的机构，可选择在同一区域不同网点分散租用不同网络供应商线路的方式，缓解突发故障造成的影响。

（四）提高信息系统整合度，优化各类系统。随着信息系统的增多，必然导致安全隐患的增加，因此商业银行应对已上线的、准备上线的、计划开发的各类信息系统进行优化整合，在全面完成业务数据大集中的基础上，建立适应客户需求变化的信息资产风险管理统一框架。要大力整合现有业务流程、数据信息、数据应用和数据控管等，尽量合并功能重复的信息系统，减少内部和外部的连接数量，优化彼此关联的信息系统，提高信息系统安全系数。

（五）加强科技信息风险监管，提升风险管控能力。

一是监管部门要迅速探索建立商业银行信息资产风险监管标准体系，着重解决商业银行信息资产风险评估与定价标准，按业务系统性质及其隐形资产价值、网络运行特性以及运营商素质等方面内容，科学划分信息资产风险级别与管理要求。二是应迅速建立商业银行信息资产风险监管法规体系，从系统开发、使用、维护、管理以及网络运营商与IT公司的资质、素质等各个层面提出相关指引，确保系统从研发到使用全过程合规合法。三是要进一步加强科技信息风险现场检查。基层商业银行由于自身风险防范能力薄弱，是风险隐患的多发部门，监管部门应定期检查、评价银行业机构科技信息系统运行情况、风险程度，发现问题及时督促整改。

（六）强化内控，拾遗补缺。一是商业银行要按照银监会《银行业金融机构信息系统风险管理指引》要求，对可能出现的管理漏洞和执行不力等问题，查缺补漏，调整优化，严格评估信息安全内控体系的完整性和实施的有效性。加强内外部审计监督，对信息系统的研发、运行及退出的全过程进行审计，对可能发生的信息科技安全事故进行调查、分析和评估，及时识别、监测和防范信息科技风险。二是加强灾备演练，提高应急处置能力。加强风险应急和处置机制建设，稳步提高应急管理水平。要定期进行各类应急预案的培训和演练，把应急管理工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的工作层面，确保极端事件发生时，能够在最短的时间内按照既定方案有序有效处置。