支付服務(wù)泛在化的風(fēng)險(xiǎn)與防范

隨著互聯(lián)網(wǎng)金融的繁榮和跨境結(jié)算業(yè)務(wù)的試點(diǎn)實(shí)施，以及無卡結(jié)算業(yè)務(wù)的廣泛應(yīng)用，支付清算行業(yè)經(jīng)歷了快速發(fā)展的時(shí)期。然而，除了在享受世界上便捷、高效的服務(wù)外，支付機(jī)構(gòu)的風(fēng)險(xiǎn)預(yù)防能力也影響整個(gè)交易的安全，應(yīng)引起重視支付業(yè)務(wù)的風(fēng)險(xiǎn)。支付機(jī)構(gòu)面臨的支付風(fēng)險(xiǎn)和趨勢分析1.安全風(fēng)險(xiǎn)及其表現(xiàn)中國特定的國情決定了支付機(jī)構(gòu)及其競爭者、合作者,以及商戶、消費(fèi)者/用戶、政府、監(jiān)管機(jī)構(gòu)等利益相關(guān)者,構(gòu)成了共生、互生的支付生態(tài)圈。支付機(jī)構(gòu)通過不斷融合線上和線下支付手段,不斷拓展支付的應(yīng)用場景,成為倒逼支付及其延伸服務(wù)創(chuàng)新的巨大動(dòng)力。在支付服務(wù)泛在化的影響下,保持創(chuàng)新和安全的平衡愈發(fā)困難。一方面,中國支付行業(yè)繼續(xù)保持顯著的發(fā)展趨勢,在支付機(jī)構(gòu)規(guī)模繼續(xù)擴(kuò)大、電子支付消費(fèi)滲透率持續(xù)提升、網(wǎng)絡(luò)零售業(yè)高速發(fā)展、電子支付業(yè)務(wù)繼續(xù)保持高度集中的大環(huán)境下,支付安全問題尤為突出。另一方面,受理渠道、產(chǎn)品形態(tài)、服務(wù)形式日益多樣化導(dǎo)致安全防范要求從交易數(shù)據(jù)到客戶賬戶,從資金安全到網(wǎng)絡(luò)安全,從系統(tǒng)漏洞到業(yè)務(wù)風(fēng)險(xiǎn),幾乎無處不在。支付機(jī)構(gòu)主要關(guān)注合規(guī)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、欺詐風(fēng)險(xiǎn)、信息技術(shù)風(fēng)險(xiǎn)。合規(guī)風(fēng)險(xiǎn)主要是指客戶從事國家法律法規(guī)禁止的業(yè)務(wù),例如傳銷、賭博、色情、洗錢、套現(xiàn)、非法使用和泄露數(shù)據(jù)等,導(dǎo)致支付機(jī)構(gòu)遭受處罰與聲譽(yù)損失的風(fēng)險(xiǎn)。信用風(fēng)險(xiǎn)是指因客戶主管償付意愿或能力問題,導(dǎo)致無法償付應(yīng)付債務(wù)、無法交付商品與服務(wù),從而給支付機(jī)構(gòu)帶來的潛在損失。欺詐風(fēng)險(xiǎn)是包括商戶及消費(fèi)者端的欺詐,比如商戶從事欺詐活動(dòng),如偽造變造經(jīng)營信息、與個(gè)人合謀欺詐等活動(dòng),以及消費(fèi)者盜用他人金融工具等行為,給支付機(jī)構(gòu)帶來的潛在風(fēng)險(xiǎn)。信息技術(shù)風(fēng)險(xiǎn)包括支付系統(tǒng)是否能確保按照業(yè)務(wù)需求交付實(shí)施,信息資產(chǎn)安全是否存在充分控制與保障,信息化服務(wù)是否能高效地提供等不確定因素帶來的風(fēng)險(xiǎn)。誘騙支付是導(dǎo)致用戶遭遇不安全事件的主因。Verizon于2013年發(fā)布的報(bào)告顯示,數(shù)據(jù)泄露攻擊手段中的69%是“通過不安全的遠(yuǎn)程訪問服務(wù)使用惡意程序進(jìn)行”的。2013年末麥肯錫發(fā)布的數(shù)據(jù)顯示,87%的惡意程序采用的是網(wǎng)絡(luò)釣魚、瀏覽器中間人MitB(ManintheBrowser)和鍵盤記錄木馬(Key-logging)這三種方式。個(gè)人/企業(yè)客戶是犯罪分子的主要攻擊目標(biāo)。個(gè)人/企業(yè)用戶是支付系統(tǒng)最薄弱的環(huán)節(jié),因此成為了主要攻擊目標(biāo)。2.短信認(rèn)證技術(shù)的安全性趨勢源碼泄露加速惡意程序的發(fā)布周期。源碼泄露給犯罪分子提供了開發(fā)新的惡意程序變種的機(jī)會(huì),而新的惡意程序變種包含新的特診、簽名以及偽裝功能,傳統(tǒng)防御技術(shù)、標(biāo)準(zhǔn)的反病毒/反惡意程序平臺(tái)尚不具備甄別這種惡意程序的能力。手機(jī)短信轉(zhuǎn)發(fā)惡意程序變得無處不在。手機(jī)一次性密碼技術(shù)正遭受攻擊,手機(jī)短信驗(yàn)證作為代外認(rèn)證手段已經(jīng)變得無用。伴隨著飛速增長的移動(dòng)設(shè)備用戶群,手機(jī)銀行、移動(dòng)互聯(lián)網(wǎng)銀行已然成為未來主流,讓短信通訊被入侵帶來的風(fēng)險(xiǎn)更加觸目驚心。經(jīng)典傳統(tǒng)惡意程序重拾勢頭。當(dāng)安全產(chǎn)品能夠檢測新的網(wǎng)絡(luò)犯罪技術(shù)時(shí),惡意程序的開發(fā)者回頭去研究那些更多需要手工和消耗時(shí)間的傳統(tǒng)方法(比如阻止用戶與真實(shí)網(wǎng)站進(jìn)行交互),以此繞過/避開最先進(jìn)的異常檢測和設(shè)備ID解決方案。惡意程序反研究反破解變得更加普及。反偵察反分析成為大多數(shù)惡意軟件產(chǎn)品的標(biāo)準(zhǔn)組件,越來越多的惡意軟件使用各種技術(shù)(包括先進(jìn)的加密、虛擬機(jī)、調(diào)試軟件等)以避免被惡意軟件研究人員分析。設(shè)備指紋技術(shù)不再可靠。設(shè)備指紋技術(shù)用于查明該賬號的訪問點(diǎn)是否來源于客戶知道的設(shè)備,當(dāng)訪問來自于客戶設(shè)備,指紋識別解決方案允許合法用戶訪問他自己的賬號。但是欺詐者不再使用自己的機(jī)器進(jìn)行入侵控制賬號攻擊,而直接通過訪問受害者的機(jī)器使用多種遠(yuǎn)程訪問技術(shù),這種方法繞開了多種設(shè)備指紋技術(shù)。管理模式不健全相比銀行等金融機(jī)構(gòu)的支付系統(tǒng),支付機(jī)構(gòu)在友善性上表現(xiàn)得更好,其客戶界面簡單清爽、菜單層級陳列清晰、通信響應(yīng)快速高效,但支付機(jī)構(gòu)存在重商戶拓展、輕風(fēng)險(xiǎn)防范,重外部營銷、輕內(nèi)控制度建設(shè)的問題,為此,支付機(jī)構(gòu)應(yīng)著重從以下方面加以改進(jìn)。要進(jìn)一步提高安全意識。吸取過去因?yàn)橹饔^生產(chǎn)安全意識薄弱、管理模式過于粗放、監(jiān)督環(huán)節(jié)失效、執(zhí)行過程不嚴(yán)格、安全責(zé)任不落實(shí)、安全監(jiān)管不到位、審計(jì)缺失造成損失的教訓(xùn)。要不斷完善安全體系。通過制定管理流程及制度、進(jìn)行合理的崗位設(shè)置和人員組織結(jié)構(gòu),不斷調(diào)整信息安全策略,建立安全技術(shù)保障體系來完善安全體系。要持續(xù)改進(jìn)產(chǎn)品業(yè)務(wù)。通過厘清安全方案與業(yè)務(wù)背景的關(guān)系,設(shè)定風(fēng)險(xiǎn)控制策略,加強(qiáng)作業(yè)流程的控制與審核,把處理措施落到實(shí)處對產(chǎn)品業(yè)務(wù)進(jìn)行完善。要加強(qiáng)建設(shè)信息系統(tǒng)。在應(yīng)用軟件方面,要加強(qiáng)信息安全技術(shù)的運(yùn)用和源代碼的管理;在系統(tǒng)軟件方面,要重視漏洞掃描和補(bǔ)丁管理;在網(wǎng)絡(luò)設(shè)施方面,要把好防火墻、入侵偵測和安全隔離三道關(guān);在數(shù)據(jù)存儲(chǔ)方面,要制定完善的安全技術(shù)保障體系。要借力大數(shù)據(jù)。大數(shù)據(jù)的核心能力是發(fā)現(xiàn)規(guī)律和預(yù)測未來。第三方支付天然是數(shù)據(jù)生產(chǎn)、加工、組織和傳播的產(chǎn)業(yè)領(lǐng)域,在大數(shù)據(jù)驅(qū)動(dòng)的商業(yè)智能橫掃傳統(tǒng)產(chǎn)業(yè)經(jīng)營和發(fā)展戰(zhàn)略的進(jìn)程中,通過對數(shù)據(jù)的采集與建模,對多類型數(shù)據(jù)的交叉分析,整理出有決策價(jià)值的信息,提升風(fēng)險(xiǎn)防范水平和企業(yè)核心競爭力。有效風(fēng)險(xiǎn)管理與企業(yè)生態(tài)創(chuàng)新發(fā)展1.增強(qiáng)風(fēng)險(xiǎn)管理能力要符合監(jiān)管期望。監(jiān)管機(jī)構(gòu)對支付行業(yè)的期望與要求日益增加,不符合行業(yè)監(jiān)管要求的經(jīng)營,收益是短暫的,業(yè)務(wù)是不可持續(xù)的,更談不上規(guī)?；】蛋l(fā)展。要控制經(jīng)濟(jì)損失。公司面臨客戶信用風(fēng)險(xiǎn)、商戶欺詐風(fēng)險(xiǎn)、交易欺詐風(fēng)險(xiǎn)、違規(guī)運(yùn)作的行政處罰等,如缺乏有效的風(fēng)險(xiǎn)管理能力,將蒙受經(jīng)濟(jì)損失、增加運(yùn)營成本,降低業(yè)務(wù)收益。要促進(jìn)業(yè)務(wù)模式創(chuàng)新。行業(yè)發(fā)展呈現(xiàn)競爭加劇、利潤縮水、創(chuàng)新加速、混業(yè)經(jīng)營等趨勢,風(fēng)險(xiǎn)管理及定價(jià)能力是在新趨勢下業(yè)務(wù)創(chuàng)新與發(fā)展的重要能力之一。要維護(hù)行業(yè)聲譽(yù)與安全。支付及金融業(yè)務(wù)各參與方共同決定行業(yè)的健康性,任何一方都無法獨(dú)善其身,建立標(biāo)準(zhǔn)的受理規(guī)范、特約商戶管理機(jī)制、數(shù)據(jù)安全管理機(jī)制等,方能保障行業(yè)的安全與健康發(fā)展。2.球化過程與混業(yè)經(jīng)營模式導(dǎo)致執(zhí)行與監(jiān)管機(jī)制差異豐富的產(chǎn)品組合帶來復(fù)雜的交易邏輯,業(yè)務(wù)全球化帶來跨地域的監(jiān)管要求,規(guī)模集中化帶來風(fēng)險(xiǎn)導(dǎo)向的管理,