虚拟银行的网络安全与技术风险

管理网络安全和技术 风险是虚拟世界面临的主要挑战 银行. 虽然缺乏网络攻击 系统的弹性可能是有害的 对于传统银行和虚拟银行来说，他们可以说 对后者有更大的影响. 这是因为 虚拟银行提供所有的产品和服务 在线. 银行应用程序是唯一的“店面”。 对于整个银行服务，以及所有的交易都是 完成在客户的指尖.

虚拟银行必须采用符合目的的风险 平衡简单性的管理方法 以及数字平台和移动设备的便利性 具有数据保护、网络安全的应用 控制和高度弹性的IT基础设施. 通过使用最新的来促进信任 IT交付和网络防御技术，虚拟 银行可以提供创新、可靠和安全的服务 向所有客户提供银行服务.

的好处 技术驱动运营和 云原生银行模式， 新的客户体验 普惠金融可以做到 实现.

虚拟银行vs. 传统银行

虚拟银行主要提供银行服务 不完全是，通过数字渠道，包括 互联网和移动应用.¹ 虚拟银行 a limited physical presence; there are no brick-and-mortar branches, and all 银行 services are 执行在线. 视位置而定，虚拟 银行也被称为新银行或挑战者 银行. 虚拟银行的业务运作是基于 金融科技的应用(fintech) 和创新. 技术在决定顾客想要什么以及如何满足他们的需求方面起着关键作用 需求可以得到满足. 凭借技术驱动型运营和云原生银行模式的优势， 新的客户体验和普惠金融 都可以实现. 可以考虑虚拟银行 科技驱动型金融服务澳门赌场官方下载.

如今，几乎所有传统零售银行都提供 客户获得某种数字体验. 然而, 这些服务大多是碎片化的 中可用服务的一部分仅复制 物理分支. 传统零售银行 以传统的方式成功运作， 主要是遗留系统和基础设施. 甚至 在拥有强大数字化实力的传统零售银行中 在议程中，技术只起着辅助作用 启用业务所需的技术功能 操作. 在最好的情况下，这些澳门赌场官方下载是作为技术公司运营的银行的领跑者.e., 银行采用金融科技).

虚拟银行渴望与传统零售有所不同 提供网上服务的银行有以下几种:

• 增强的端到端客户体验占据 在当地的银行网点排起长队的日子是怎样的. 通过虚拟银行，客户可以享受到无缝的服务 以及高效的银行业务经验. 最初的 虚拟银行阶段包括简单的银行业务 产品和服务，包括快速账户 开放的、有竞争力的存款利率 以及诱人的贷款优惠. 技术驱动的 虚拟银行正致力于利用大数据 采用分析来更快地批准贷款 快速支付系统，集成自动化 管理和实施资金的平台 提供实时银行服务的聊天机器人 24/7. 目标是要有一个包罗万象的 即能够处理基本的平台 顾客日常生活中的必需品——购物、 食物住宿交通保健 保险、账单支付、财富管理——所有这些 在客户的指尖.
• 技术驱动的商业模式创新 数字服务不仅仅提供一个接口 客户和银行之间. 的重要性 监管技术(regtech)的支持 促进银行之间的联系 监管机构不能被低估. 与 日益增加的复杂性、范围和严格性 全球范围内的规章制度越来越多 必须处理的事务和数据量 经过处理，这是自动化的正确时机 合规. 例如，增强的开户体验只能受益于电子商务 了解你的客户(eKYC)过程 用大数据分析和机器学习 与欺诈和反洗钱相辅相成 监测过程. 虚拟银行业务包括 由前到后的技术驱动.
• 敏捷的工作方式-虚拟银行 运营模式已经从流程驱动模式转变为敏捷的工作方式. In 技术交付，持续部署 小的重复迭代允许包含 每次敏捷的改进和经验教训 冲刺. 这种模式遵循了创新精神 从小处开始，快速失败，从而实现快速交付 产品和服务. 网络安全实践 还要遵循敏捷的工作方式，包括 安全补丁计划的一致性和 安全配置的回顾. 敏捷方式 工作不仅限于技术交付 但涵盖了所有银行流程，例如 财务、营运及人力资源(HR).
• 促进普惠金融——“金融 包容意味着个人和澳门赌场官方下载 能获得有用且负担得起的资金吗 满足他们需求的产品和服务 交易，支付，储蓄，信贷和 保险——以负责任的方式交付 可持续的方式.”² 传统零售银行通过其广泛的业务来实现普惠金融 分行网络，而虚拟银行则是这样 通过它们的低边际成本. 虚拟银行 have lower operating costs; for instance, unlike 传统的零售银行不需要支付 租金为众多分支机构，节省了成本 使他们的客户受益. 尽管最初的IT 虚拟银行的基础设施可能成本高昂 ，健壮的IT系统的可伸缩性降低 吸引新客户的增量成本. 这些节省的成本可以传递给客户 通过提供更有吸引力的利率. 的 因此，虚拟银行没有强制执行的动机 对客户的最低账户余额要求或低余额费用.

尽管最初的IT 虚拟银行的基础设施 设置起来可能会很贵 健壮的IT系统的可伸缩性 减少的增量成本 吸引新客户.

面临的主要风险因素 虚拟银行

虚拟银行的出现改变了 银行的运作方式，以及初创澳门赌场官方下载的风险状况 虚拟银行不同于传统银行 传统零售银行. 严重依赖于 技术在虚拟银行商业模式中的应用 主要的非金融风险因素包括:

• 信息和网络安全风险——一个新的, 全数字化银行是备受瞩目的目标 网络犯罪. 许多促销活动 围绕着一个新的虚拟银行的推出 会增加网络攻击的可能性吗. 为 例如，一家总部位于中国的虚拟银行就遭受了损失 分布式拒绝服务(DDoS)攻击 其推出的第一天，造成了显著 服务延迟.³ 资料外泄及保密 由于未经授权的访问或 网络攻击可能导致法律费用和严重后果 对银行声誉的损害. 一个成功的 对于一家传统零售银行来说，网络攻击是一个严重的问题, 但这对整个虚拟世界来说是致命的 银行业务. 为了抵消 固有网络风险，专家网络防御团队 而且需要一流的网络防御工具.
• 技术稳定性和弹性风险虚拟 银行对技术的依赖增加了它们的风险 暴露于不稳定的IT系统带来的风险. 他们有更广泛的技术栈要管理，而且 他们广泛使用供应商和新技术. 这大大增加了他们的暴露 技术问题和网络威胁——不管它们是什么 由银行的系统、人员、第三方介绍 或者第三方系统. 例如，促销活动 虚拟银行的宣传活动吸引了更多的人 初始阶段的预期客户数量 发射阶段，导致系统容量问题⁴ 任何系统的不稳定不仅会导致金融 损失，还有潜在的声誉损害， 而且它可能会招致监管机构的审查. 简单来说， 虚拟银行需要保护和维护的东西更多 从网络安全和技术治理 的角度来看.
• 个人行为风险-高级管理层的支持对网络安全计划的成功至关重要 在任何组织中，更不用说技术驱动的了 虚拟银行. 根据管辖权，董事会 澳门赌场官方软件或高级管理人员可被扣留 个人对任何网络事件或数据负责 违反. 创新是虚拟银行的基因， 他们通常都有高水平的员工，但是 在创新之间取得平衡很重要吗 和cyberawareness. 一些简单的东西 点击钓鱼邮件或回复社交邮件 工程调用可能危及机密数据.
• 监管风险-作为一家持牌银行，一个虚拟的 银行应遵守所有适用的规定 规定. 新的业务流程和使用 新技术可能会引入遵从性 现有法规没有填补的空白 修订以跟上…的快速变化 技术. 许多金融法规 也许是基于原则而不是规则 不可避免地要讨论和解释 现有法规适用于新技术. As 虚拟银行成熟后，监管可能会变得 更有利于创新. 例如，在 香港的监管规定要求所有虚拟银行 以达到先进的网络弹性水平 成熟.⁵ 这与传统不同 银行; they can opt for cyber成熟 based on the 固有风险评估结果.
• 第三方风险-采用某些供应商产品 在技术驱动的澳门赌场官方下载中是不可避免的吗 操作. 完成云治理 第三方尽职调查过程可以是 艰巨的任务. 关键是要确保供应商， 无论大小，坚持银行的水平 的cybercontrols. 不仅是彻底的尽职调查 包括审查政策和标准，但它也 包括对操作和控制的现场评审 证据. 银行的法律顾问也应该这么做 准备标准化的法律术语 供应商的信息安全配置. 维护涉及到一定的复杂性 对第三方的持续监督很大 扩展，特别是软件即服务(SaaS) 供应商. 然而，重要的是要记住 即使技术和活动是 以共同责任模式进行外包; 问责没有外包. 问责制 继续由银行董事会和 高级管理人员.

作为一家持牌银行，一个虚拟的 希望银行遵守 所有适用的法规.

如何降低风险

受监管的虚拟银行应该具有低风险 总体的胃口，特别是零风险的胃口 任何重大违规行为. 降低银行的风险 概述，应该采取全面的风险管理方法 到位，有几个组成部分:

• 强有力的治理-高层的语气对…至关重要 风险管理. 明确角色和职责，并定期与业务领导接触 必须建立. 现有的风险管理 应利用框架进行调整 能否针对虚拟银行环境进行定制.
• 明确的指导原则-有两类 控制:强制性和可取的. 强制性的 控制永远不应该妥协，包括 客户保密，保护客户 存款和反洗钱. 数据加密, 安全配置，及时修补，高度安全 弹性系统架构必须到位. 这 还应与风险偏好水平保持一致吗 由董事会设定. 控件是否是强制的 还是可取还要看产品的交付情况 阶段. 控制要求可能不那么严格 在沙盒环境中，但在真实的生产环境中是必需的. “监管沙盒 监管机构建立的框架是否允许 金融科技初创澳门赌场官方下载和其他创新者的行为 在一个受控的环境下进行现场实验 监管机构的监督.”⁶ 例如，在IT方面 弹性，某些中断会更容易被接受 在沙盒环境中.
• 定期进行风险评估和控制测试— 鉴于更具活力的商业环境 一个虚拟银行，必须进行测试以检测控制中断 比传统零售更有规律 银行. 当采用基于风险的方法时，对IT环境和关键控制的重大更改是 受到更大的抽样规模和更频繁 并进行深入的评审，符合敏捷的方式 工作. 根据项目所处的阶段，情况有所不同 风险评估的类型(例如.g.，快速风险评估，深入 将调用Dive(跨读). 一个网络安全 而技术风险和控制库应该是 建立，参照国际 公认的框架，如COBIT^® 和美国 国家标准与技术研究所(NIST) 作为控制基线.
• 修复监测-密切监察 整治状态应关闭到位 任何已确定的差距. 在技术方面， 常规系统快照，加密信息 传输，并定期修补和检查 对确保稳定和安全的资讯科技环境至关重要.
• 风险意识风险管理是每个人的责任 责任. 流程所有者应该理解和 遵循银行的风险承受能力. 积极的风险文化 是否应该建立与职业相关的奖励 人员确保个人责任.

敏捷风险咨询框架

在实现和创新之间取得平衡 环境与安全运行，分阶段进行 这与敏捷的工作方式是一致的 (图1). 分阶段的方法包括:

• 头脑风暴-进行探索性的讨论 风险监督水平，避免阻碍创新
• 探索-适度的风险监督 注意事项记录
• 解决方案设计-涉及…的有形讨论 对关键控制的初步风险评审 建立网络安全和技术风险和 控制基线
• 持续交付-高度的监督和 全面的风险评估，包括抽样确保 与产品发布的风险偏好保持一致

虚拟货币不会引入新的风险类型 银行. 但风险管理者必须做好准备 以更大的焦点管理不同的风险概况 在技术. 风险是可以一次性管理的 适当的风险偏好已经确立，其次是 定期风险识别和及时补救. 充分利用监管沙箱可以实现 在受控环境中测试的新产品或服务 确保环境中的任何风险因素都没有 发现和管理.

结论

传统上，银行不太懂技术. 但虚拟银行不同于传统银行 零售银行在许多方面——从其方法出发 操作到它提供的客户体验. 在重组实施十多年后 到2008年金融危机爆发时，银行业是如此 现在在采用方面处于成长阶段 的技术. 由于采用了虚拟银行， 网络安全和技术风险专业人士 面对不断变化的威胁，需要 他们调整自己的观点来评估和 管理相关风险. 高度的网络 技术弹性风险概况需要一个 先进的工具知识，增强的意识 智能过程集成.

尾注

¹ 投资者及理财教育委员会(IFEC)，“什么是虚拟银行”?2019年12月9日， http://www.ifec.org.hk/web/en/financial-products/fintech/virtual-bank/what-is-a-virtual-bank.page
² 世界银行，《澳门赌场官方软件》，2018年10月2日， http://www.worldbank.org/en/topic/financialinclusion/overview
³ “平安互联在开业当天遭遇网络攻击。” 香港经济日报2020年10月5日
⁴ 董其昌,C.; “WeLab Bank Suspends 9.8%港元定期存款闪电事件，称需要更多压力测试。 香港 经济形势2020年9月10日 http://wealth.hket.com/article/2749151/WeLab%20Bank%E6%9A%AB%E5%81%9C9.8%E5%8E%98%E6%B8%AF%E5%85%83%E5%AE%9A%E6%9C%9F%E5%AD%98%E6%AC%BE%E5%BF%AB%E9%96%83%E6%B4%BB%E5%8B%95%E3%80%80%E7%A8%B1%E9%9C%80%E9%80%B2%E8%A1%8C%E6%9B%B4%E5%A4%9A%E5%A3%93%E5%8A%9B%E6%B8%AC%E8%A9%A6?lcc=aw
⁵ 香港金融管理局，“网络安全强化计划2”.2020年11月3日， http://www.Hong Kong金管局.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2020/20201103e1.pdf
⁶ 扶贫协商小组(CGAP)，《澳门赌场官方下载》?2019年8月1日， http://www.cgap.org/blog/series/regulatory-sandboxes-what-have-we-learned-so-far

谢志强，CISA, CISM, CDPSE, CPA

有热情探索创新和网络之间的平衡 技术控制和使银行业务更简单、更直观. 谢霆锋是 他是虚拟银行Mox Bank的创始成员之一 由渣打银行担保. 他有丰富的塑造和塑造经验 在投资银行实施业务和技术风险策略 德意志银行(Deutsche Bank)、瑞士信贷(Credit Suisse)和野村证券(Nomura)等机构在全球和地区的投资 规模. 他是一名注册会计师和网络专家 提供了一个多学科的方法来弥合银行， 网络安全和技术风险.