上周,美国证券交易委员会(SEC)将网络安全指认为全球金融产业最大风险。
SEC主席玛丽·乔·怀特说:“网络风险可造成深远影响。”
例如,不久前发生的利用全球转账网络SWIFT从孟加拉央行偷走8100万美元的网络劫案。
SEC承诺加强监管,SWIFT自身也将于本周发起新的网络安全行动,包括对其客户的独立安全审计。同时,7国集团顶级财政官员汇集日本,探讨改善全球网络安全协调的计划。
前世界银行安全团队 Strategic Cyber Ventures 首席执行官汤姆·凯勒曼称,这是全球金融网络安全的历史性时刻。10年前,他就向世界银行提交一份颇有先见之明的报告,指出了当时被很多金融公司忽略掉的潜在网络风险。
“他们对现实嗤之以鼻,认为这绝对不会成为一个广泛性问题。然而,犯罪分子赶上了那份报告中提到的最坏情况,将预测变成了现实。”
专家认为,金融系统有3个方面会使安全性的改善难上加难。其一,系统整体安全性决定于其中最弱的一环,这一环有可能分布在世界任何地方。其二,一些受害者可能根本没察觉自己已经被黑了。最后,向交易事务实时处理的转变,移除了一些以前的检查和制衡。
谁是最弱的那一环?
德勤会计师事务所网络风险服务战略与监管实践总监维克拉姆·巴特说,全球金融系统是紧密连通的,但成员机构之间的安全水平参差不齐。
“坏人会攻破生态系统中最弱的一环。也就是网络项目没达标的那些机构。”
而且,潜在的目标不仅仅是金融机构。这些机构几乎什么事都交给了外部供应商,从法律事务和营销服务到交易处理。
“他们常常通过赋予外部团体对内部系统的实时访问权来外包各种各样的事务。如果系统没有被恰当隔离,一旦有人攻入,所有数据便予取予求了。”
银行,尤其是大型跨国银行,通常都有最强的网络安全保障。
但根据毕马威会计事务所(KPMG)日前发布的调查报告,12%的大银行CEO不清楚过去2年里他们是否曾被黑过,47%的副总裁和常务董事,72%的高级副总裁和董事,同样不清楚。
意识上的空白让安全不被银行所重视,漏洞的出现在所难免。
被黑了?我吗?
对某些网络罪犯而言,几百万美元不过是零花钱。他们已经找到悄无声息盗取更多钱的方法。
有能力从某个账户中转走1千万就是本事了,但若能明白一家主要券商在市场中将要采取的行动,那显然有利可图得多。
近期的金融衰退让很多金融专家失业了,其中一些找到了新的谋生之路——教导网络罪犯怎样进行非法预先交易和市场操纵。
例如,一名犯罪分子若攻入某家公司的系统,发现有交易设定在某个特定时刻发生,他就可以抢先进场,一击必杀。
网络罪犯还会将这些信息传给海外投资者。监管部门没注意到,或者把结果归结为运气,毕竟那些投资者和金融公司之间并没有任何明显的联系。
而因为唯一的表征只是他们赚到的钱比预期少,受害公司很有可能永远察觉不到自己被黑了。比如说,本来计划赚5倍的,最后只赚了3倍,反正是赚了,因此也就没有注意。而在没有明显损失的时候,公司一般很难会对网络安全投入太多。
犯罪圈子里都知道,私人股本公司和对冲基金的技术基础设施超弱,在直通式处理和实时交易的情况下,一旦已经分派好交易,很难避免被抢先。因此,这已经成为系统性风险问题了。
谁在监视着那些数字?
程式交易是让华尔街公司在每笔交易中保住每一分钱的另一工具。而交易中的分分毫毫累积得非常快,因此各家公司在敲定交易上简直争先恐后。
结算所和其他中介机构都在尽力缩短处理时间以吸引并维系客户,这些客户同样越来越对价格敏感。
他们一直在尽可能地缩减开支,推进自动化。
这就造成没有多少时间留给单笔交易检查的窘状,或许,是时候退后一步了。
也未必就是每笔交易都要检查,但对于8100万美元这种大笔交易,有人看总比没人理要好。监管必然要有更多开支维系,但恐怕没有哪家机构会在没有第二或第三层次审查的情况下处理如此巨额的交易。
相关阅读
