2023年11月15日,UCO银行报告称,在11月10日至13日期间,其他银行的持有人在即时支付服务(IMPS)中发起的某些交易导致UCO银行的账户持有人获得信贷,而没有实际收到这些银行的资金。2023年11月16日,该银行补充说,8.2亿卢比中的64.9亿卢比可以收回。
随后,12月5日,中央调查局(CBI)发布了一份新闻简报,提供了进一步的细节。7家私人银行的多达1.4万名账户持有人向UCO银行的4.1万名账户持有人发起了853049笔IMPS汇入交易。一些账户持有人利用这种情况,通过各种银行渠道错误地从UCO银行提取资金。
你可以想象,这个案子在银行界引起了很大的轰动。本文试图从这一事件中挖掘一些根本原因和教训。
忽视公共服务银行的治理
当观察如此巨大规模的事件时,人们必须从顶部开始。有句老话说:士兵不会输掉战争;将军会输掉战争。任何事件变成灾难性的,都是因为过去和现在的领导人缺乏远见和准备。
让我们看看公共部门银行(psb)的治理问题。关于这一问题的最终研究报告是由PJ Nayak委员会于2014年撰写的。主要建议涉及消除对公共部门银行(psb)的双重控制,提高董事会审议的质量,设立银行投资公司(BIC)并将政府在psb的股份减少到51%以下,所有基础广泛的银行统一许可制度,银行董事会局选择银行的最高管理层,随后由BIC和银行董事会选择。
十年过去了,许多建议并没有付诸行动。特别是许多(但不是全部)psb的电路板质量仍然是一个薄弱的领域。
印度储备银行早就认识到董事会需要专业的技术经验和监督。2011年1月出版的G Gopalakrishna网络安全工作组(我是其中一员)的报告中有一章是关于IT治理的,该报告呼吁有能力的董事会成员领导IT战略委员会。
虽然工作组的建议没有约束力,但随后印度储备银行重申了这些对专家监督的期望,最终于2023年11月7日发布了最近的总体指导,该指导为所有受监管实体(REs)制定了遵守董事会IT战略委员会规定的时间表(第6条)以及他们应该遵循的相关流程。
在这一点上,仔细阅读UCO银行的网站并没有发现任何董事会成员似乎拥有丰富的技术经验。
随着涉及巨额资金的消息传开,经验丰富的银行家立即指出,“故障”持续了三天,表明和解过程薄弱。原始数据每四个小时共享一次,几个小时内就会出现危险信号。也许,故障发生的时间(11月11日是第二个星期六,11月12日是星期天/卡利法会)可能起到了拖延的作用。这个特殊的时机是偶然的,还是某人故意的选择,还有待观察。
大量的失败
鉴于这种不寻常的交易模式,一个有效的欺诈监控系统会很快发现这种趋势。现在,业界都知道邮政储蓄银行缺乏专门的、熟练的集中欺诈管理团队。由于缺少这些技能,花费大量资金购买的软件没有得到充分利用。
关注的第三个方面似乎是软件配置/新应用程序版本的变更管理。CBI的调查应该揭示导致故障的配置更改(或其他)是经过授权/有意识还是无意的。
关于变更管理的一个好的实践指南建议一个“配置控制审查委员会(CCRB)”,它负责支持对配置项的变更的评估、优先级、授权和调度,以及管理这些变更的策略的实现。ITIL将这种结构称为变更咨询委员会。”
也不知道配置错误是由有缺陷的代码引起的(这将反映用户接受测试的有效性),还是由参数变化引起的(这将表明有缺陷的设计)。特权访问管理工具的覆盖率也可能与检查相关。
更微妙的一点是:我听到知识渊博的银行从业人员谈到,在全天候支付环境中,缺乏足够知识渊博的制造商检查人员,他们应该是银行员工,而不是供应商员工。理想情况下,随着数据中心业务的蓬勃发展和支付基础设施的全天候可用性(包括NEFT/RTGS),这应该已经到位了。或许,银行在这些领域过度投资的时机已经到来。
现在,我们将缩小一点。IMF在2017年4月发表的一篇有影响力的论文正确地指出,“与网络空间相关的风险的真正汇总远远超出了单个机构的内部监控和风险管理能力。”任何一家企业,无论资源多么充足,都不可能凭借一己之力取得成功,而且不仅要与同行合作,掌握威胁情报,分享网络弹性方面的最佳实践,还需要依靠监管机构、执法部门和国家安全机构来保护其资产和客户。
那么,印度在加强金融生态系统方面的记录如何?
2017年,建议成立一个金融部门计算机应急响应小组(CERT-Fin),作为一家非营利公司,在每个金融部门监管机构中设立分部门的应急响应小组(分别处理银行、市场、保险和养老金)。CERT-Fin建议的一项重要职能是发展网络技能,并促进行业参与者之间的信息共享。
制度缺失最终的记忆
CERT-Fin从未起飞,可能是由于财政部的一些想法混乱。这一难题的重要组成部分仍然缺失,即建立一种机制,记录重大网络事件,剔除它们的经验教训,并以一种结构化的方式在金融界传播,以避免由于缺乏机构记忆而犯下同样的错误。
以前发生过像UCO银行这样的事件吗?它有。2017年3月,马哈拉施特拉邦银行在一起迄今为止最大的统一支付接口(UPI)诈骗案中损失了2.5亿卢比,当时一些人利用一个小漏洞非法转移了资金。UPI系统中的漏洞允许人们在账户中没有必要资金的情况下汇款。即使当银行的核心银行解决方案拒绝交易时,UPI解决方案也会将成功消息发送给NPCI。听起来熟悉吗?
类似的软件测试和变更管理不足以及缺乏及时协调的问题也在这个案例中被标记出来。
很明显,许多金融机构和其他机构必须提高自己的水平,以确保此类大型事件(无论是出于疏忽还是恶意)不会发生。保护人们对电子银行和数字印度的信任是每个人的责任。
一般来说,个人学习是体验性的,但组织没有这种奢侈。即使在竞争激烈的环境中,对手的数量和影响力都可以惊人地扩大,与同行合作并从他人的失败中吸取教训也变得势在必行。
风险经理和商业领袖有责任为他们的职业、客户和股东做好本职工作,不能让公共资金被不受惩罚地拿走。由政府和监管机构运作的生态系统应该赋予他们正确的政策和可共享的知识。
Nandkumar Saravade是前IPS高管和DeepStrat联合创始人。个人观点,不代表本刊立场。
邀请你的朋友和家人注册MC Tech 3,我们的每日通讯,打破了当天最大的技术和创业故事DAILY-EVENING
订阅你的收件箱里最热门的科技和创业故事,以此结束你的一天DAILY-EVENING
订阅你的收件箱里最热门的科技和创业故事,以此结束你的一天
微信扫一扫打赏
