網(wǎng)絡(luò)攻擊是移動(dòng)互聯(lián)網(wǎng)時(shí)代商業(yè)銀行面臨的外部風(fēng)險(xiǎn)之一，在商業(yè)銀行內(nèi)部控制以及合規(guī)風(fēng)險(xiǎn)管理中應(yīng)當(dāng)受到高度重視。2018年10月1日，英國(guó)金融行為管理局（Financial Conduct Authority）對(duì)英國(guó)最大超市樂(lè)購(gòu)集團(tuán)（Tesco PLC）全資控股的樂(lè)購(gòu)銀行（Tesco Bank）處以罰款1640萬(wàn)英鎊，折合人民幣1.48億元。罰款是針對(duì)該銀行在2016年11月發(fā)生的網(wǎng)絡(luò)攻擊事件中未能夠勤勉、盡職保護(hù)客戶免受可預(yù)見的損失而施加的處罰。當(dāng)前，國(guó)際銀行業(yè)面臨的網(wǎng)絡(luò)黑客攻擊形勢(shì)嚴(yán)峻，英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行處罰案例為全球商業(yè)銀行的網(wǎng)絡(luò)安全管理敲響了警鐘。下面對(duì)該案例進(jìn)行分析，并以案為鑒，提出對(duì)我國(guó)銀行業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的若干啟示及對(duì)策建議。

一、樂(lè)購(gòu)銀行基本情況

（一）樂(lè)購(gòu)銀行的背景及業(yè)務(wù)

樂(lè)購(gòu)集團(tuán)（Tesco）與沃爾瑪、家樂(lè)福并稱為全球三大零售商，樂(lè)購(gòu)銀行是樂(lè)購(gòu)集團(tuán)旗下的網(wǎng)絡(luò)銀行。樂(lè)購(gòu)銀行前身為樂(lè)購(gòu)金融服務(wù)公司，是樂(lè)購(gòu)集團(tuán)與蘇格蘭皇家銀行的合資公司。2008年12月19日，樂(lè)購(gòu)集團(tuán)收購(gòu)了蘇格蘭皇家銀行的股份，全資擁有樂(lè)購(gòu)金融服務(wù)公司并更名為樂(lè)購(gòu)銀行。樂(lè)購(gòu)銀行可以為客戶提供一系列的金融產(chǎn)品及服務(wù)，包括儲(chǔ)蓄、現(xiàn)金、信用卡、抵押、貸款、保險(xiǎn)和借記卡服務(wù)等。

在樂(lè)購(gòu)銀行成立之前，樂(lè)購(gòu)集團(tuán)和國(guó)民西敏寺銀行（NatWest）聯(lián)合提供被稱為樂(lè)購(gòu)俱樂(lè)部卡的儲(chǔ)蓄卡，該卡與客戶的儲(chǔ)蓄賬戶相關(guān)聯(lián)，客戶能夠通過(guò)該卡片進(jìn)行購(gòu)物和ATM取款。該卡在樂(lè)購(gòu)銀行成立之后成為樂(lè)購(gòu)銀行的產(chǎn)品。2010年，樂(lè)購(gòu)銀行決定給客戶提供個(gè)人現(xiàn)金賬戶的借記卡，并以樂(lè)購(gòu)集團(tuán)存量客戶為基礎(chǔ)，通過(guò)忠誠(chéng)度獎(jiǎng)勵(lì)計(jì)劃將樂(lè)購(gòu)俱樂(lè)部卡融合進(jìn)來(lái)。截至2016年11月末，樂(lè)購(gòu)銀行員工總數(shù)約為4000人，擁有760萬(wàn)個(gè)客戶賬戶，13.6萬(wàn)個(gè)現(xiàn)金賬戶。

（二）樂(lè)購(gòu)銀行卡設(shè)計(jì)的缺陷

2016年12月13日之前，樂(lè)購(gòu)銀行在發(fā)行借記卡時(shí)是從一批連續(xù)的5萬(wàn)個(gè)數(shù)字當(dāng)中以隨機(jī)的方式進(jìn)行編碼，直到該批數(shù)字用完才會(huì)使用下一批數(shù)字。這導(dǎo)致樂(lè)購(gòu)銀行借記卡出現(xiàn)了有依據(jù)的可被計(jì)算的按次序卡號(hào)，使網(wǎng)絡(luò)攻擊者容易推測(cè)出真實(shí)的借記卡卡號(hào)。在網(wǎng)絡(luò)攻擊發(fā)生后，樂(lè)購(gòu)銀行修改了這種卡號(hào)編碼方式。

樂(lè)購(gòu)銀行使用授權(quán)系統(tǒng)和欺詐交易監(jiān)測(cè)系統(tǒng)對(duì)交易進(jìn)行監(jiān)控，通過(guò)授權(quán)系統(tǒng)提供基礎(chǔ)授權(quán)服務(wù)，通過(guò)欺詐交易監(jiān)測(cè)系統(tǒng)進(jìn)行反欺詐分析和監(jiān)測(cè)。一旦出現(xiàn)欺詐交易，欺詐交易監(jiān)測(cè)系統(tǒng)將下達(dá)指令阻止相關(guān)交易。但樂(lè)購(gòu)銀行的欺詐交易監(jiān)測(cè)系統(tǒng)在身份驗(yàn)證上是針對(duì)現(xiàn)金賬戶而不是借記卡，缺乏雙重驗(yàn)證功能，這導(dǎo)致即使該系統(tǒng)監(jiān)測(cè)到網(wǎng)絡(luò)攻擊者發(fā)起欺詐交易，且銀行已經(jīng)對(duì)借記卡掛失，但網(wǎng)絡(luò)攻擊者仍然可以使用賬戶上的資金余額，只要該賬戶綁定了另外一張真實(shí)的借記卡。

二、樂(lè)購(gòu)銀行遭受網(wǎng)絡(luò)攻擊事件回顧

（一）網(wǎng)絡(luò)攻擊發(fā)生前的風(fēng)險(xiǎn)警示

2015年11月4日，維薩國(guó)際組織（VISA）向其成員（含樂(lè)購(gòu)銀行）發(fā)出銀行欺詐交易的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)警示，指出美國(guó)和巴西有犯罪分子通過(guò)網(wǎng)絡(luò)攻擊進(jìn)行“PoS91”類型交易的欺詐活動(dòng)?！癙oS91”是一種行業(yè)代碼，指顧客使用銀行卡通過(guò)PoS機(jī)進(jìn)行交易，PoS機(jī)終端根據(jù)與借記卡相關(guān)聯(lián)的芯片非接觸或者客戶通過(guò)移動(dòng)設(shè)備完成支付。收到警示信息后，樂(lè)購(gòu)銀行內(nèi)設(shè)的金融犯罪控制團(tuán)隊(duì)立即停止了所有樂(lè)購(gòu)銀行信用卡的“PoS91”類型交易，但是對(duì)借記卡的該類型交易沒(méi)有停止。2016年9月30日萬(wàn)事達(dá)國(guó)際組織（Master Card）也對(duì)其成員（含樂(lè)購(gòu)銀行）發(fā)出了“PoS91”類型交易欺詐警示郵件。郵件中提到，“PoS91”類型借記卡無(wú)接觸式欺詐交易通常表現(xiàn)為，犯罪分子偽裝成巴西賣家在美國(guó)小商品網(wǎng)站上進(jìn)行低價(jià)值商品交易。樂(lè)購(gòu)銀行金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)收到了該郵件，但并沒(méi)有采取進(jìn)一步的措施。

（二）網(wǎng)絡(luò)攻擊的發(fā)生和樂(lè)購(gòu)銀行的應(yīng)對(duì)

2016年11月5日凌晨2:00，黑客對(duì)樂(lè)購(gòu)銀行賬戶發(fā)起網(wǎng)絡(luò)攻擊，利用樂(lè)購(gòu)銀行卡的編碼缺陷，計(jì)算出真實(shí)的樂(lè)購(gòu)銀行借記卡卡號(hào)，再利用這些卡號(hào)生成虛擬銀行卡進(jìn)行數(shù)千筆未授權(quán)的借記卡交易。凌晨4:00，樂(lè)購(gòu)銀行的欺詐交易監(jiān)測(cè)系統(tǒng)給賬戶持有人發(fā)送信息，提醒客戶其賬戶發(fā)生可疑交易活動(dòng)。賬戶持有人隨即與樂(lè)購(gòu)銀行客戶服務(wù)人員進(jìn)行電話聯(lián)系。樂(lè)購(gòu)銀行的金融犯罪控制團(tuán)隊(duì)這才了解到可疑交易活動(dòng)的發(fā)生，但對(duì)于是否應(yīng)將這些可疑交易活動(dòng)判斷為網(wǎng)絡(luò)攻擊，還需要進(jìn)一步鑒別。

在網(wǎng)絡(luò)攻擊發(fā)生時(shí)，樂(lè)購(gòu)銀行的金融犯罪控制團(tuán)隊(duì)通過(guò)郵件試圖聯(lián)系金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)，而不是按照規(guī)定通過(guò)電話方式聯(lián)系，這導(dǎo)致金融犯罪控制團(tuán)隊(duì)直到11月5日晚上23:00才與對(duì)方取得聯(lián)系。金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)從2016年11月6日凌晨1:48開始編制指令試圖阻止可疑交易，但指令的實(shí)施效果不明顯，這是因?yàn)槠溴e(cuò)誤地使用歐洲貨幣代碼替代巴西國(guó)家代碼。雖然金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)很快發(fā)現(xiàn)了錯(cuò)誤，重新編制交易阻止指令，但是還是有一些“PoS91”類型交易避開了樂(lè)購(gòu)銀行的授權(quán)和欺詐交易監(jiān)測(cè)系統(tǒng)的監(jiān)測(cè)。

金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)隨后尋求外部專家支援以解決問(wèn)題。直到2016年11月7日00:59，外部專家才找到問(wèn)題產(chǎn)生的原因，原來(lái)是在最初編制交易阻止指令時(shí)引入了錯(cuò)誤的編碼。11月7日03:35在線交易阻止指令才開始全面生效。11月8日，樂(lè)購(gòu)銀行開始恢復(fù)正常的銀行客戶活動(dòng)，期間部分客戶使用ATM機(jī)還需要進(jìn)行身份驗(yàn)證。11月9日8:00，樂(lè)購(gòu)銀行撤銷所有針對(duì)網(wǎng)絡(luò)攻擊的相關(guān)措施，全面恢復(fù)正常營(yíng)業(yè)。

（三）樂(lè)購(gòu)銀行應(yīng)對(duì)網(wǎng)絡(luò)攻擊事件暴露出來(lái)的問(wèn)題

一是管理人員未及時(shí)采取適當(dāng)措施阻止網(wǎng)絡(luò)攻擊。當(dāng)未能與金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)取得聯(lián)系時(shí)，樂(lè)購(gòu)銀行沒(méi)有采取任何措施阻止攻擊的發(fā)生，導(dǎo)致由網(wǎng)絡(luò)攻擊產(chǎn)生的欺詐交易不斷進(jìn)行，截至交易阻止指令發(fā)出時(shí)，已產(chǎn)生46000個(gè)欺詐交易，可見樂(lè)購(gòu)銀行未有盡到勤勉責(zé)任、保護(hù)客戶免受網(wǎng)絡(luò)攻擊。

二是應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)出現(xiàn)操作性失誤。金融犯罪反欺詐戰(zhàn)略團(tuán)隊(duì)編制指令以阻止源自于網(wǎng)絡(luò)攻擊形成的欺詐交易時(shí)，使用了錯(cuò)誤的國(guó)家代碼，使得阻止指令無(wú)法及時(shí)生效。此外，由于在編制阻止指令時(shí)引入錯(cuò)誤的編碼，致使部分欺詐交易避開監(jiān)測(cè)，阻止指令未能全面生效，導(dǎo)致客戶的權(quán)益持續(xù)受到損害。

三是信息系統(tǒng)設(shè)計(jì)存在嚴(yán)重缺陷。在第二次編制交易阻止指令時(shí)，在外部專家協(xié)助下發(fā)現(xiàn)，樂(lè)購(gòu)銀行的欺詐交易監(jiān)測(cè)系統(tǒng)將監(jiān)測(cè)對(duì)象設(shè)置為個(gè)人賬戶而不是借記卡，這意味與交易相關(guān)聯(lián)的借記卡即使被盜或丟失，與該卡相關(guān)聯(lián)的可疑交易也不會(huì)被欺詐交易監(jiān)測(cè)系統(tǒng)所發(fā)覺(jué)。

（四）網(wǎng)絡(luò)攻擊事件對(duì)樂(lè)購(gòu)銀行的影響

一是客戶資產(chǎn)受到較大損失。盡管樂(lè)購(gòu)銀行及時(shí)阻止了約80%的未授權(quán)欺詐交易，但仍有8261個(gè)賬戶受到影響，資金損失達(dá)到226萬(wàn)英鎊。據(jù)事后統(tǒng)計(jì)，在網(wǎng)絡(luò)攻擊過(guò)程中，客戶個(gè)人賬戶受到損失的程度并不相同：約7000位客戶損失在500英鎊以下；超過(guò)600位客戶的個(gè)人賬戶損失500～1000英鎊；超過(guò)600位客戶損失1000～5000英鎊；23位客戶損失5000～10000英鎊；損失最為嚴(yán)重的客戶的賬戶發(fā)生22次欺詐交易，總計(jì)損失65000英鎊。此外，由于欺詐交易的發(fā)生，樂(lè)購(gòu)銀行客戶的賬戶出現(xiàn)余額扣除現(xiàn)象，導(dǎo)致668筆沒(méi)有支付的交易直接計(jì)入客戶的賬戶，樂(lè)購(gòu)銀行不得不花費(fèi)約9000英鎊用以支付全部受到攻擊的客戶賬戶因欺詐交易產(chǎn)生的利息和費(fèi)用①。

二是客戶體驗(yàn)受到較大的負(fù)面影響。部分客戶在網(wǎng)絡(luò)攻擊發(fā)生后的數(shù)日內(nèi)無(wú)法正常使用銀行卡，給生活和工作帶來(lái)了諸多不便。超過(guò)5000位客戶的賬戶發(fā)生0元酒店預(yù)訂的授權(quán)批準(zhǔn)，而實(shí)際交易被店家或賣家撤銷、并沒(méi)有發(fā)生。部分客戶在接到樂(lè)購(gòu)銀行發(fā)出的可疑交易監(jiān)測(cè)短信后，試圖通過(guò)電話聯(lián)系銀行客戶服務(wù)中心，卻無(wú)法從電話咨詢中獲得任何幫助。據(jù)統(tǒng)計(jì)，在11月6日當(dāng)天，樂(lè)購(gòu)銀行的電話服務(wù)熱線接到來(lái)自客戶的3887個(gè)電話，但94.4%的電話由于等待時(shí)間太長(zhǎng)而未有接聽。

（五）樂(lè)購(gòu)銀行的事后救濟(jì)措施

一是啟動(dòng)消費(fèi)者補(bǔ)償方案。在發(fā)生網(wǎng)絡(luò)攻擊之后，樂(lè)購(gòu)銀行立即啟動(dòng)消費(fèi)者補(bǔ)償方案以彌補(bǔ)客戶的損失。樂(lè)購(gòu)銀行將因欺詐交易而擬計(jì)入客戶賬戶的金額取消，同時(shí)立即退還相關(guān)客戶賬戶費(fèi)用及利息，并根據(jù)個(gè)案的情況補(bǔ)償部分客戶的直接損失和精神損失。

二是對(duì)內(nèi)部控制問(wèn)題進(jìn)行反省并配合監(jiān)管部門開展整改。在網(wǎng)絡(luò)攻擊發(fā)生后，樂(lè)購(gòu)銀行委托獨(dú)立第三方對(duì)網(wǎng)絡(luò)攻擊事件進(jìn)行審查。經(jīng)外部專家證實(shí)，在網(wǎng)絡(luò)攻擊過(guò)程中沒(méi)有發(fā)生個(gè)人數(shù)據(jù)泄漏，該結(jié)論得到英國(guó)金融行為管理局的認(rèn)可。此外，樂(lè)購(gòu)銀行對(duì)網(wǎng)絡(luò)攻擊發(fā)生的原因與本行應(yīng)對(duì)工作進(jìn)行評(píng)估，完善了欺詐交易監(jiān)測(cè)的流程及程序設(shè)計(jì)。

三、英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行處罰要點(diǎn)及分析

（一）英國(guó)金融行為管理局的處罰認(rèn)定

英國(guó)金融行為管理局認(rèn)為，犯罪分子利用樂(lè)購(gòu)銀行借記卡設(shè)計(jì)缺陷和金融犯罪控制團(tuán)隊(duì)工作的疏忽開展網(wǎng)絡(luò)攻擊，在此過(guò)程中，樂(lè)購(gòu)銀行違反了《2000年金融服務(wù)與市場(chǎng)法》，違背了消費(fèi)者保護(hù)、保護(hù)與加強(qiáng)金融市場(chǎng)完整性的兩大要旨。此外，根據(jù)英國(guó)金融行為管理局發(fā)布的《決定程序和懲罰手冊(cè)》（Decision Procedure and Penalties Manual）規(guī)定，商業(yè)銀行必須以盡職、謹(jǐn)慎和勤勉的態(tài)度來(lái)開展業(yè)務(wù)，保護(hù)其客戶免受金融犯罪的侵害。據(jù)此，英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行作出罰款的處罰。

（二）罰款金額的計(jì)算與確定

英國(guó)金融行為管理局根據(jù)《決定程序和懲罰手冊(cè)》，通過(guò)違法利益收繳、違法嚴(yán)重性評(píng)估、引入減輕和加重因素三個(gè)步驟，計(jì)算和決定罰單金額的適當(dāng)水平。

第一步，違法利益收繳。監(jiān)管當(dāng)局首先要收繳金融機(jī)構(gòu)從直接違反相關(guān)規(guī)定的行為中獲得的收益。在該步驟的評(píng)估中，樂(lè)購(gòu)銀行獲益的金額為零。

第二步，違法嚴(yán)重性的評(píng)估。英國(guó)金融行為管理局指出，違法嚴(yán)重性是根據(jù)金融機(jī)構(gòu)在違規(guī)行為期間相關(guān)的業(yè)務(wù)或產(chǎn)品對(duì)消費(fèi)者帶來(lái)的損害以及風(fēng)險(xiǎn)進(jìn)行衡量。英國(guó)金融行為管理局認(rèn)為，樂(lè)購(gòu)銀行案中的違法嚴(yán)重性應(yīng)按照網(wǎng)絡(luò)攻擊期間平均每個(gè)現(xiàn)金賬戶承受的風(fēng)險(xiǎn)金額進(jìn)行計(jì)算，具體時(shí)間從2014年6月1日（樂(lè)購(gòu)銀行開始發(fā)行借記卡）到2016年11月9日（樂(lè)購(gòu)銀行開始恢復(fù)正常操作）。通過(guò)分時(shí)期、分階段進(jìn)行計(jì)算，處罰金額總計(jì)3356萬(wàn)英鎊。

第三步，引入減輕和加重因素。英國(guó)金融行為管理局認(rèn)為，不存在要加重處罰的因素，并將以下因素列為減輕處罰的因素：一是樂(lè)購(gòu)銀行積極配合監(jiān)管調(diào)查；二是在網(wǎng)絡(luò)攻擊發(fā)生之后，立即啟動(dòng)對(duì)本行管理的第三方評(píng)估，并根據(jù)評(píng)估情況進(jìn)行了整改；三是對(duì)金融犯罪控制團(tuán)隊(duì)加大資源投入，擴(kuò)充隊(duì)伍并開展培訓(xùn)；四是啟動(dòng)實(shí)施消費(fèi)者補(bǔ)償方案；五是樂(lè)購(gòu)銀行應(yīng)對(duì)網(wǎng)絡(luò)攻擊的措施阻止了80%欺詐交易的發(fā)生。綜上，可以對(duì)樂(lè)購(gòu)銀行減輕處罰，處罰金額降低至2343萬(wàn)英鎊。鑒于樂(lè)購(gòu)銀行配合英國(guó)金融行為管理局的監(jiān)管調(diào)查并盡快提出了解決方案，可以進(jìn)一步降低處罰，最終英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行因違反《決定程序和懲罰手冊(cè)》而課以處罰的總金額為1640萬(wàn)英鎊。

（三）英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行處罰案中體現(xiàn)的監(jiān)管要旨

1.強(qiáng)調(diào)金融消費(fèi)者保護(hù)。英國(guó)金融行為管理局從成立之初，就一直強(qiáng)調(diào)“消費(fèi)者是監(jiān)管核心”的理念，在所有的監(jiān)管環(huán)節(jié)中始終將金融消費(fèi)者保護(hù)置于最重要的位置。在樂(lè)購(gòu)銀行遭受網(wǎng)絡(luò)攻擊后，英國(guó)金融行為管理局經(jīng)過(guò)歷時(shí)兩年的調(diào)查，作出了相關(guān)的處罰決定，樂(lè)購(gòu)銀行不僅要繳納相應(yīng)的罰金，還要補(bǔ)償消費(fèi)者226萬(wàn)英鎊，這一處罰體現(xiàn)了英國(guó)金融行為管理局堅(jiān)持金融消費(fèi)者權(quán)益至上的理念。

2.加大對(duì)違規(guī)行為本身的處罰。在整個(gè)網(wǎng)絡(luò)攻擊事件中，樂(lè)購(gòu)銀行內(nèi)部控制與合規(guī)風(fēng)險(xiǎn)管理暴露出較多的問(wèn)題。英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行的處罰主要基于以下幾點(diǎn)：金融產(chǎn)品設(shè)計(jì)存在缺陷，對(duì)消費(fèi)者利益保護(hù)不足，忽視對(duì)網(wǎng)絡(luò)攻擊的預(yù)警，應(yīng)對(duì)攻擊事件不當(dāng)。這反映了在涉及到風(fēng)險(xiǎn)管理方面，英國(guó)金融行為管理局更注重對(duì)商業(yè)銀行違規(guī)行為的處罰，而不是僅僅考慮攻擊事件的最終結(jié)果以及金融消費(fèi)者是否得到了合理的補(bǔ)償。

3.重視商業(yè)銀行內(nèi)部控制機(jī)制建設(shè)及執(zhí)行。英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)集團(tuán)的風(fēng)險(xiǎn)管理框架、董事會(huì)對(duì)金融犯罪的防控、銀行合規(guī)風(fēng)險(xiǎn)管理三道防線的運(yùn)行進(jìn)行審查，認(rèn)為樂(lè)購(gòu)銀行的金融犯罪治理框架是清晰的，每一項(xiàng)機(jī)制在框架內(nèi)都有獨(dú)特的職責(zé)，為降低樂(lè)購(gòu)銀行所面臨的金融犯罪風(fēng)險(xiǎn)發(fā)揮了有效作用。但是，樂(lè)購(gòu)銀行在應(yīng)對(duì)網(wǎng)絡(luò)攻擊過(guò)程中，有關(guān)的負(fù)責(zé)人和管理人員未能以專業(yè)、謹(jǐn)慎和勤勉的方式履行職責(zé)，沒(méi)有采取適當(dāng)?shù)拇胧┚忈屨诎l(fā)生的網(wǎng)絡(luò)犯罪風(fēng)險(xiǎn)、確保網(wǎng)絡(luò)犯罪帶來(lái)的影響得到較好的控制。英國(guó)金融行為管理局指出，樂(lè)購(gòu)銀行雖然內(nèi)部控制機(jī)制架構(gòu)健全，但是在機(jī)制運(yùn)行方面卻存在較為嚴(yán)重的問(wèn)題，這也是英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行進(jìn)行處罰的主要原由所在。

四、商業(yè)銀行網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理的提升路徑：英國(guó)金融行為管理局對(duì)樂(lè)購(gòu)銀行處罰案帶來(lái)的啟示

（一）在防范網(wǎng)絡(luò)攻擊上，商業(yè)銀行要加強(qiáng)對(duì)合規(guī)風(fēng)險(xiǎn)的識(shí)別與評(píng)估

金融與互聯(lián)網(wǎng)的深度融合使得網(wǎng)絡(luò)攻擊可能發(fā)生在任何場(chǎng)景之中。若商業(yè)銀行采用的互聯(lián)網(wǎng)技術(shù)未能與業(yè)務(wù)發(fā)展需要相匹配，犯罪分子便可能會(huì)利用銀行的管理漏洞從事違法犯罪行為。在英國(guó)樂(lè)購(gòu)銀行網(wǎng)絡(luò)攻擊案件中，犯罪分子發(fā)現(xiàn)樂(lè)購(gòu)銀行借記卡的編號(hào)漏洞，于是利用云計(jì)算模式展開網(wǎng)絡(luò)攻擊，通過(guò)偽造欺詐交易以圖獲利。這一網(wǎng)絡(luò)攻擊事件凸顯了樂(lè)購(gòu)銀行在合規(guī)風(fēng)險(xiǎn)識(shí)別和評(píng)估上的缺陷。

合規(guī)風(fēng)險(xiǎn)的識(shí)別與評(píng)估是合規(guī)風(fēng)險(xiǎn)管理的前提和基礎(chǔ)。英國(guó)金融行為管理局指出，樂(lè)購(gòu)銀行合規(guī)風(fēng)險(xiǎn)管理的失職之處主要在于，收到國(guó)際銀行卡組織發(fā)出的警報(bào)后，并未采取及時(shí)、有效的行動(dòng)防范可能的網(wǎng)絡(luò)攻擊。如果樂(lè)購(gòu)銀行積極開展合規(guī)風(fēng)險(xiǎn)的識(shí)別與評(píng)估，就會(huì)對(duì)網(wǎng)絡(luò)環(huán)境和自身狀況有更加清晰、明確的認(rèn)識(shí)，及時(shí)采取措施加強(qiáng)風(fēng)險(xiǎn)管理、避免網(wǎng)絡(luò)攻擊的發(fā)生。

綜上所述，小學(xué)階段是學(xué)生思維能力過(guò)渡發(fā)展的重要階段，所以在小學(xué)教學(xué)中，教師應(yīng)該把抽象復(fù)雜的教學(xué)知識(shí)具體形象化，隨著社會(huì)信息化進(jìn)程的不斷加快，現(xiàn)代信息技術(shù)已經(jīng)滲透到各個(gè)行業(yè)，在此時(shí)代背景下，小學(xué)教學(xué)也應(yīng)該與時(shí)俱進(jìn)，積極改革教學(xué)技術(shù)，以充分滿足小學(xué)教學(xué)的實(shí)際需要，而信息化教學(xué)資源為廣大師生提供了豐富的教學(xué)資源，不僅充分體現(xiàn)了新課改的教學(xué)理念，還確保了課堂教學(xué)活動(dòng)的豐富性和趣味性，顯著提升了小學(xué)教學(xué)水平，增強(qiáng)了學(xué)生的綜合素養(yǎng)。

（二）在應(yīng)對(duì)網(wǎng)絡(luò)攻擊上，商業(yè)銀行要強(qiáng)化對(duì)合規(guī)風(fēng)險(xiǎn)的監(jiān)測(cè)和檢查

（三）在風(fēng)險(xiǎn)事件發(fā)生后，商業(yè)銀行應(yīng)當(dāng)努力維護(hù)金融消費(fèi)者權(quán)益，加強(qiáng)與監(jiān)管部門的溝通

外部風(fēng)險(xiǎn)沖擊事件往往致使商業(yè)銀行遭受聲譽(yù)損失以及來(lái)自監(jiān)管部門的懲罰。為逃避責(zé)任，有的商業(yè)銀行管理層會(huì)對(duì)風(fēng)險(xiǎn)事件加以掩蓋。樂(lè)購(gòu)銀行在網(wǎng)絡(luò)攻擊發(fā)生之后，立即聘請(qǐng)第三方開展內(nèi)部控制評(píng)估、進(jìn)行內(nèi)部整改，及時(shí)停止異常交易，防止消費(fèi)者損失進(jìn)一步擴(kuò)大。對(duì)已造成的損失，樂(lè)購(gòu)銀行在清查之后對(duì)消費(fèi)者進(jìn)行了全面的補(bǔ)償。此外，樂(lè)購(gòu)銀行始終保持與監(jiān)管當(dāng)局的良好溝通，最終與英國(guó)金融行為管理局達(dá)成和解協(xié)議，英國(guó)金融行為管理局減輕了對(duì)該行的處罰力度。盡職維護(hù)金融消費(fèi)者權(quán)益，加強(qiáng)與監(jiān)管當(dāng)局的溝通，積極配合監(jiān)管當(dāng)局開展整改，是商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理的必要舉措。

（四）在維護(hù)網(wǎng)絡(luò)安全上，商業(yè)銀行應(yīng)當(dāng)加強(qiáng)內(nèi)部控制體系建設(shè)并保障體系有效運(yùn)行

應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，必須在公司治理層面建立統(tǒng)一的網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理框架，對(duì)每個(gè)業(yè)務(wù)部門的職責(zé)加以明確劃分、配置適當(dāng)?shù)馁Y源以確保各個(gè)條線、部門、崗位盡職履行合規(guī)風(fēng)險(xiǎn)管理職責(zé)。英國(guó)金融行為管理局經(jīng)評(píng)估指出，樂(lè)購(gòu)銀行的網(wǎng)絡(luò)安全治理框架是合適的，但合規(guī)風(fēng)險(xiǎn)管理的具體執(zhí)行過(guò)程中出現(xiàn)了較為嚴(yán)重的問(wèn)題，內(nèi)部管理缺失，相關(guān)工作人員既缺乏專業(yè)化知識(shí)應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)事件，也沒(méi)有以謹(jǐn)慎和勤勉的態(tài)度履行職責(zé)，這是導(dǎo)致網(wǎng)絡(luò)攻擊事件發(fā)生的根源。由此可見，維護(hù)網(wǎng)絡(luò)安全，商業(yè)銀行必須加強(qiáng)內(nèi)部控制體系建設(shè)并保障其合理、順暢運(yùn)行，方能切實(shí)發(fā)揮網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理框架的作用、實(shí)現(xiàn)風(fēng)險(xiǎn)防控的目標(biāo)。

五、對(duì)我國(guó)商業(yè)銀行加強(qiáng)網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理的若干建議

從國(guó)內(nèi)情況看，當(dāng)前互聯(lián)網(wǎng)信息科技與銀行業(yè)務(wù)高度融合，網(wǎng)絡(luò)運(yùn)營(yíng)、管理和服務(wù)成為商業(yè)銀行打造核心競(jìng)爭(zhēng)力的關(guān)鍵環(huán)節(jié)，維護(hù)網(wǎng)絡(luò)安全也成為銀行合規(guī)風(fēng)險(xiǎn)管理的重要目標(biāo)。2017年6月1日生效實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)商業(yè)銀行網(wǎng)絡(luò)安全管理提出了更高要求。商業(yè)銀行應(yīng)當(dāng)根據(jù)國(guó)家法律法規(guī)對(duì)網(wǎng)絡(luò)安全管理的最新要求，加強(qiáng)對(duì)網(wǎng)絡(luò)安全形勢(shì)的分析與研判，進(jìn)一步提高網(wǎng)絡(luò)安全的合規(guī)風(fēng)險(xiǎn)管理能力。

（一）建立健全網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理框架，明確公司治理層面和各部門職責(zé)分工

網(wǎng)絡(luò)安全屬于信息科技風(fēng)險(xiǎn)管理范疇，是操作風(fēng)險(xiǎn)管理的重要內(nèi)容。商業(yè)銀行在構(gòu)建合規(guī)風(fēng)險(xiǎn)管理框架時(shí)，有必要將網(wǎng)絡(luò)安全作為信息科技風(fēng)險(xiǎn)治理的重要目標(biāo)納入其中，明確董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層和相關(guān)部門的職責(zé)分工，建立多層次、相互銜接的運(yùn)行機(jī)制，確保網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理體制機(jī)制的有效運(yùn)行以及監(jiān)督機(jī)制作用的發(fā)揮。在公司治理層面，可以考慮成立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理委員會(huì)，專門負(fù)責(zé)網(wǎng)絡(luò)安全、防范網(wǎng)絡(luò)攻擊。各業(yè)務(wù)部門承擔(dān)與本部門相關(guān)的網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理職責(zé)，由合規(guī)部門對(duì)業(yè)務(wù)部門履職進(jìn)行監(jiān)督及檢查，由審計(jì)部門對(duì)業(yè)務(wù)部門、合規(guī)部門進(jìn)行審計(jì)監(jiān)督，并且做好對(duì)影響銀行正常運(yùn)營(yíng)的網(wǎng)絡(luò)安全事故的跟蹤調(diào)查與審計(jì)。

（二）加大網(wǎng)絡(luò)安全的合規(guī)風(fēng)險(xiǎn)管理的資源投入，加強(qiáng)對(duì)員工的專業(yè)化培訓(xùn)

在當(dāng)前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻的背景下，商業(yè)銀行有必要加大對(duì)網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理的資源投入，做到資源投入與網(wǎng)絡(luò)風(fēng)險(xiǎn)、業(yè)務(wù)規(guī)模、管理需要等相適應(yīng)。一是要配置有關(guān)網(wǎng)絡(luò)安全防護(hù)的軟件和硬件設(shè)施，維護(hù)網(wǎng)絡(luò)及系統(tǒng)順暢運(yùn)行，防范潛在的網(wǎng)絡(luò)攻擊；二是加大人力資源投入，配置專業(yè)化水平較高的網(wǎng)絡(luò)安全管理人員，妥善地管理網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)、及時(shí)預(yù)警并發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊事件；三是定期對(duì)在崗人員進(jìn)行專業(yè)化培訓(xùn)，使從業(yè)人員對(duì)商業(yè)銀行面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)具有充分的認(rèn)識(shí)，能夠根據(jù)不同的情況及時(shí)采取有效的應(yīng)對(duì)措施。

（三）加強(qiáng)網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)的識(shí)別與評(píng)估，提前做好風(fēng)險(xiǎn)防范

一是建立網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)定期評(píng)估制度。定期對(duì)網(wǎng)絡(luò)系統(tǒng)的信息風(fēng)險(xiǎn)進(jìn)行評(píng)估，及時(shí)更新硬件設(shè)備及操作流程以糾正信息系統(tǒng)、業(yè)務(wù)流程與內(nèi)部控制措施的偏離。盡管大部分商業(yè)銀行對(duì)網(wǎng)絡(luò)安全的重視程度不斷提高，但有的商業(yè)銀行仍然缺乏有效應(yīng)對(duì)網(wǎng)絡(luò)安全漏洞的管理與修復(fù)機(jī)制，這便給網(wǎng)絡(luò)攻擊者提供了可乘之機(jī)。合規(guī)風(fēng)險(xiǎn)管理部門在開展網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)評(píng)估的過(guò)程中，要著重關(guān)注網(wǎng)絡(luò)安全漏洞的修復(fù)與管理，盡早將可能的風(fēng)險(xiǎn)隱患識(shí)別出來(lái)。二是根據(jù)風(fēng)險(xiǎn)評(píng)估情況開展定期的周期性滲透測(cè)試和漏洞評(píng)估。通過(guò)系統(tǒng)掃描結(jié)果和風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)網(wǎng)絡(luò)安全漏洞逐一進(jìn)行辨認(rèn)和排查，做好信息系統(tǒng)的合規(guī)風(fēng)險(xiǎn)審查。三是建立網(wǎng)絡(luò)安全突發(fā)事件應(yīng)對(duì)機(jī)制。當(dāng)網(wǎng)絡(luò)安全事件影響信息系統(tǒng)的保密性、完整性以及金融機(jī)構(gòu)的正常運(yùn)營(yíng)時(shí)，立即進(jìn)行響應(yīng)并快速評(píng)估信息系統(tǒng)的受損情況，進(jìn)而對(duì)系統(tǒng)加以修復(fù)和完善。合規(guī)風(fēng)險(xiǎn)管理部門要從風(fēng)險(xiǎn)評(píng)估機(jī)制、控制措施及安全事件的應(yīng)對(duì)機(jī)制等方面開展監(jiān)督和檢查，督促業(yè)務(wù)部門加強(qiáng)和完善網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)管理。

（四）加強(qiáng)網(wǎng)絡(luò)安全事件監(jiān)測(cè)和檢查，盡早排查風(fēng)險(xiǎn)因子

一是加強(qiáng)對(duì)網(wǎng)絡(luò)安全事件的監(jiān)測(cè)和檢查，建立健全監(jiān)察制度并安排專人負(fù)責(zé)該項(xiàng)任務(wù)。二是完善網(wǎng)絡(luò)安全管理制度，制定訪問(wèn)權(quán)限、應(yīng)用程序安全審查、特定情形的復(fù)合因素認(rèn)證要求、數(shù)據(jù)保存等網(wǎng)絡(luò)安全控制程序，增加保密和認(rèn)證環(huán)節(jié)，提高網(wǎng)絡(luò)系統(tǒng)的保密性和安全性。三是對(duì)已識(shí)別或者監(jiān)測(cè)到的網(wǎng)絡(luò)安全事件進(jìn)行快速回應(yīng)，第一時(shí)間采取有效措施控制風(fēng)險(xiǎn)因子，隔絕風(fēng)險(xiǎn)源，緩釋風(fēng)險(xiǎn)點(diǎn)帶來(lái)的損害，降低網(wǎng)絡(luò)安全事件帶來(lái)的不良影響程度。

（五）確保責(zé)任機(jī)制有效落實(shí)，提高合規(guī)風(fēng)險(xiǎn)管理水平

一是落實(shí)金融消費(fèi)者保護(hù)機(jī)制。當(dāng)網(wǎng)絡(luò)攻擊事件發(fā)生后，商業(yè)銀行要重視金融消費(fèi)者權(quán)益保護(hù)，盡快清查消費(fèi)者遭受的損失并進(jìn)行合理賠償。這既是商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理的必然要求，也是商業(yè)銀行承擔(dān)社會(huì)責(zé)任的重要內(nèi)容。但從實(shí)際情形來(lái)看，有的商業(yè)銀行并沒(méi)有積極落實(shí)金融消費(fèi)者保護(hù)機(jī)制，在網(wǎng)絡(luò)安全事件發(fā)生時(shí)，對(duì)金融消費(fèi)者權(quán)益的保護(hù)有所忽視，致使消費(fèi)者蒙受損失。二是落實(shí)整改責(zé)任機(jī)制。通過(guò)排查、整改內(nèi)部控制中存在的問(wèn)題，提高風(fēng)險(xiǎn)管理水平，能夠避免合規(guī)風(fēng)險(xiǎn)事件的再次發(fā)生。商業(yè)銀行應(yīng)當(dāng)對(duì)存在網(wǎng)絡(luò)安全合規(guī)風(fēng)險(xiǎn)的業(yè)務(wù)流程及制度缺陷進(jìn)行及時(shí)的改造，彌補(bǔ)管理上的漏洞，切實(shí)發(fā)揮合規(guī)管理機(jī)制的風(fēng)險(xiǎn)防控功能。