银行信息系统的重要性毋庸置疑。

试想,当你正准备买入一只快速上涨的股票,而突然银行的信息系统出了故障,你只能眼睁睁看着股票上涨而无法成交;当然,你可能还有更重要的业务因为银行信息系统故障而无法办理,给你造成了重大损失……

正因为银行信息系统的极端重要性,银行很少出现信息系统故障,而一旦出现故障,要根据情况上报监管部门甚至国务院。

8月9日,银保监会的一则处罚信息,意外暴露了中信银行的“重要信息系统中断”事件。

事故发生又隐瞒

8月9日,银保监会公布了今年的“天价”罚单,中信银行因十三项违法违规行为,被合计罚没2223.7万元,刷新今年以来银保监系统最高罚没金额记录。

而且,这个罚单是自去年12月7日以来,银保监会机关8个月内开出的首张罚单。

罚单信息显示,中信银行“未向监管部门报告重要信息系统运营中断事件”,且认定“信息系统控制存在较大安全漏洞,未做到有效的安全控制”。

银行机构的信息系统中断会对企业造成很大的影响和损失。对于任何金融机构而言,确保业务运行不中断,关键数据得到充分保护,以及在意外发生时,能够实现数据的实时恢复,这都是业务运营中的重中之重。因此,银行的信息系统会面临着更加严格的国家监管。

但是,作为股份制银行第一梯队的中信银行,却在信息系统安全性上“掉链子”,以致遭到银保监会的严厉处罚。

监管严查信息系统风险

信息系统安全运行是商业银行业务正常开展的重要保障和基本前提,关乎商业银行声誉、金融安全和社会稳定。银行服务对象复杂、分布广泛,所提供的金融服务与个人、企业利益乃至国民经济息息相关,一旦发生重大信息科技事件,会引起一系列的连锁反应。

下表是近几年的信息系统风险事件案例。

监管部门此前就对银行的信息系统安全提出诸多指导意见。早在2006年,央行和银监会就分别发文,要求全国性大型银行,原则上同时采用同城和异地灾难备份和恢复策略,区域性银行可采用同城或异地灾难备份和恢复策略。

2008年2月,央行发布《银行业信息系统灾难恢复管理规范》要求:短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业务功能并造成重大经济损失的系统RTO(恢复时间目标)<6小时,RPO(恢复点目标)<15分钟。

RTO是反映业务恢复及时性的指标,表示业务从中断到恢复正常所需的时间;RPO是反映恢复完整性的指标,在同步复制下,RPO等于数据传输时延长时间。

前车之鉴

而据业内人士透露,近年相对比较严重的一次银行信息系统中断事件发生在宁夏银行。

2014年7月1日下午15时至7月3日,宁夏银行的核心系统数据库出现故障,导致存取款、网银、ATM等业务全部中断长达37个多小时。

监管部门曾发文通报宁夏银行的这起数据库故障,称经初步分析,在季末结算业务量较大的情况下,因备份系统异常导致备份存储磁盘读写处理严重延时,备份与主存储数据不一致,在采取中断数据备份录像操作后,造成生产数据库损坏并宕机。因宁夏银行应急恢复处置机制严重缺失,导致系统恢复工作进展缓慢,业务系统中断长达37小时40分钟。

银行是现代经济的中枢,宁夏银行的业务中断产生了连锁反应。7月2日,银川市医疗保险事务管理中心官方微博称,因宁夏银行机房出现故障,自2014年7月1日15:30起全市定点医疗机构和定点零售药店共700多家不能刷医保卡(社保卡)就医结算。

宁夏土地和矿业权交易中心网站也于7月3日通知,宁夏银行2014年7月1日下午15时37分至7月3日8时30分业务系统出现故障,导致土地和矿业权网上交易系统无法与银行连接。

如何亡羊补牢?

由于银保监会认定中信银行“信息系统控制存在较大安全漏洞,未做到有效的安全控制”,对于是否补上了“较大的安全漏洞”,中信银行并未给出说明。

中信银行2018年年报显示,报告期内,本行持续夯实信息科技风险和信息安全防护体系,完善运维集约化、自动化和智能化平台建设,完善数据中心异地灾备体系,全面推广中信云平台,安全运维保障能力显著提升。

中信银行的科技投入相当大。2018年报显示,报告期内,本行各类信息科技投入约 35.8 亿元,在持续夯实信息科技基础设施的同时,继续加大信息科技基础投入,加速布局人工智能、区块链、云计算、大数据等领域,取得了显著成效。

但没有安全,就没有一切,万无一失,一失万无,中信银行如何补上安全漏洞值得关注。

声明:本文来自财经众议院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。