几年前,在北卡罗来纳州夏洛特市一家大型金融机构进行的一次评估数据保存安全性的检查中,一组风险顾问发现,有权限接触敏感信息的员工中,超过三分之一的人选择了“密码”作为自己的密码。顾问们提醒了公司的经理们。
两年后,顾问们回来了。金融业高管们自豪地展示了自上次访问以来,安保工作是如何加强的。按照指示,大多数员工都对自己的密码进行了个性化设置。不幸的是,这些员工中有四分之一在显示器上张贴了新密码。
这种疏忽在不久前可能还会让人发笑,但随着金融机构的机密信息日益受到攻击,它已成为一个令人不寒而栗的例子,说明银行数据系统安全可能是多么无效。
TowerGroup是一家位于马萨诸塞州Needham的咨询公司,估计自1997年以来,针对美国企业的在线安全攻击每年都翻了一番。银行很少报告具体的财务数据泄露,但TowerGroup认为,全球范围内的泄露数量正在飙升。根据反钓鱼工作组(Anti-phishing Working Group)的数据,自2004年7月以来,成功的“钓鱼”事件每月平均增加30%。反钓鱼工作组是一个行业监测机构,其成员包括Visa国际组织,仅在2005年1月,该组织就报告并跟踪了12800封网络钓鱼电子邮件。TowerGroup预计,2006年此类事件的数量将跃升至86000多起。
总部位于弗吉尼亚州阿灵顿(Arlington)的行业组织网络安全产业联盟(Cyber Security Industry Alliance)的执行董事保罗•库尔茨(Paul Kurtz)表示:“我们已经从犯罪分子为了好玩而进行黑客活动,变成了为了盈利而进行黑客活动。”“有组织犯罪已经意识到了这个机会,并变得非常认真。”
犯罪分子通常会盗取三种类型的数据:零售客户的个人财务信息,这是最抢手的,因为它可以用于身份盗窃;机构客户的信息,如银行帐号,可用于未经授权的资金转移或伪造记录;以及有关银行业务活动的机密信息,如交易数据、投资策略、交易信息和商业模式——任何可能给对手带来竞争优势或导致市场领先的信息。例如,2000年,所罗门美邦(Salomon Smith Barney)的一名投资助理和他的朋友、东京三菱银行(Bank of Tokyo Mitsubishi)的一名副总裁被判有罪,并被罚款100万美元,原因是他们利用十几起并购交易的内幕信息进行交易。所罗门银行的银行家从复印机、打印机和机密电脑文件中找到的文件中获得了这些信息。
数据盗窃的激增迫使金融机构加强数据保护工作。根据位于马萨诸塞州剑桥市的技术和市场研究公司Forrester Research的数据,美国金融机构每年在数据安全方面的支出已经接近90亿美元。Wachovia Corp.高级副总裁兼损失管理集团执行董事布赖恩·麦金利(Brian McGinley)估计,光是美国的货币中心银行每年的支出就超过1亿美元。
金融机构应该保护哪些信息?贝尔斯登公司(Bear Stearns&Co.)信息安全董事总经理詹妮弗·贝尤克(Jennifer Bayuk)说,这很简单:“如果你不想在《华尔街日报》的头版看到什么,就必须加以保护。”
由于骗子们变得越来越有创造力,保护罪犯变得困难和昂贵。高科技盗窃手段包括网络钓鱼、黑客攻击以及用病毒和蠕虫使银行的计算机系统瘫痪等。像贿赂这样的低技术含量的方法也很有效。今年春天,新泽西警方发现了一个涉嫌贿赂美国银行(Bank of America Corp.)、商业银行(Commerce Bank)、PNC银行(PNC Bank)和瓦乔维亚银行(Wachovia)员工的团伙,以获取多达50万名客户的记录。据称,该团伙的头目在该计划中至少赚取了200万美元,他向银行员工支付了每人10美元的客户记录,然后以每人100美元的价格转手出售。美国银行和瓦乔维亚银行现在面临集体诉讼。
Wachovia的麦克金利表示:“我们很明显,客户信息已成为一种犯罪商品,其在公开市场上的价值以前所未有的规模增长。”
为了防止外人进入私人网络,各机构正在安装一系列技术,包括防火墙、入侵检测软件和防病毒屏蔽。托存信托与清算公司(Depository Trust&Clearing Corp.)首席信息安全官詹姆斯·劳斯(James Routh)表示,许多保护层已经到位,包括防火墙和交换机配置,它们决定了谁可以连接什么设备。“我们有许多控件,允许人们根据其角色或职责访问信息。这些权限定期进行验证。”
总部位于佐治亚州肯尼索的财富咨询公司hensler Financial Group拥有10亿美元的资产。三年来,该公司一直在使用Lumigent的审计数据库(Audit DB)软件,跟踪数据库信息的访问和修改,并向未授权用户提供电子追踪。但该组织首席技术长奥普里(Tim O’pry)不愿对他使用的防护软件置评,他说每一款软件都有漏洞。“如果人们知道我们使用的是什么,”他说,“他们就会知道要尝试什么exploit。”
现在一项主流技术是“双因素认证”。它需要两种身份证明——通常是密码或母亲的娘家姓,以及信用卡或身份证明。后者是数字编码的智能卡或小型硬件设备,如需要个人识别号码的钥匙卡;这些设备每隔几分钟就会生成一个新的系统访问代码,允许在与相应的读取设备进行电子“握手”后进入系统。去年10月,联邦金融机构审查委员会(Federal Financial Institutions Examination Council)禁止银行在2006年年底之后允许单一形式的网上交易认证,称其“不适用于高风险交易”。
专家们说,银行将不得不开始向客户提供识别指纹或身份标识的生物识别工具,这一前景令智能卡和其他设备的供应商,包括Vasco Data Security和RSA Security等公司,兴奋不已。“越来越多的银行向授权进行大规模电子交易的机构客户提供代币,”伊利诺伊州Oakbrook Terrace Vasco Data Security金融账户主管梅丽莎•比西奥蒂(Melissa Bisciotti)表示。这些设备的价格在每个用户8到59美元之间,取决于它们的使用范围。
金融公司也在对更多的数据进行加密。以前,加密主要局限于通过光纤通信线路传输的数据,这些数据很容易被窃取。现在,加密技术被用于存储在磁带、服务器或硬盘上的数据,也就是所谓的“静止数据”。但并非所有人都相信这是合理的。
贝尔斯登的Bayuk认为:“如果你有大量的加密数据,那么到处都有大量的解密工具。”他解释说,一旦黑客获得未经授权的资料,他们就会找到读取这些资料的方法。“访问控制更重要。”
不过,加密至少增加了一层防止尴尬的保护。去年,美国银行在运输过程中丢失了包含120万联邦雇员(包括美国参议员)账户信息的未加密磁带。专家预测,最终大多数数据将被加密。在此之前,金融机构会一步一步地计算出哪些数据必须首先得到保护。首先要考虑的是电子邮件,它在很大程度上是不安全的。技术专家认为,电子邮件很容易受到攻击,因为一条信息通常要经过几个服务器才能到达目的地。
纽约银行信息安全主管埃里克·格雷诺(Eric Guerrino)表示:“电子邮件越来越被视为一种重大风险。”。“这就像在明信片上发送机密数据。”
格雷诺预计,随着加密技术的成熟,达到不再拖累应用程序的水平,银行将越来越多地对电子邮件进行加密。纽约银行表示,它会对发给一小部分客户和商业伙伴的电子邮件进行加密,并计划扩大这项工作。大型加密提供商风滚草通信公司(Tumbleweed Communications Corp.)的客户包括美国银行(BofA)、摩根大通(J.P. Morgan Chase & Co.)和富国银行(Wells Fargo & Co.)。该公司说,大约一半的顶级金融机构现在至少对发给零售客户的部分电子邮件进行加密。
数据安全方面的其他改进将来自于诸如切碎重要文件和磁擦除计算机磁盘等低技术实践。T.Rowe Price Group的首席技术官詹姆斯·马扎拉基斯(James Mazarakis)补充道:“我们正试图将传输给第三方的磁带数量减少到几乎为零,这样一切都可以通过安全的通信线路发送。”
由于确保银行数据安全的最大不确定因素仍是人为失误和人为腐败,各银行正加大力度对员工进行筛选和意识培训,并加强内部控制。在过去的两年中,BoNY已经开始屏蔽员工不需要看到的数据列。敏感任务在工作人员之间分配,例如,当帐户地址更改时,一个员工输入数据,另一个员工验证数据。包括Wachovia在内的其他机构也会监控员工的活动,以确保他们访问某些文件的频率不会超过本应达到的频率。Wachovia的麦克金利表示:“机构正在利用侦查控制手段,寻找信息的不寻常使用或不寻常的行为模式,即人们大量请求不典型的信息。”
总部位于芝加哥的风险管理和保险经纪公司怡安公司(Aon Corp.)的金融服务风险顾问凯文·卡利尼希(Kevin Kalinich)表示,尽管金融机构“比其他实体的状况要好得多,因为它们被审查的时间更长”,但它们决不能自满,因为自满的成本急剧上升。在过去,如果客户的记录或身份丢失或被盗,银行的保险成本通常不到几千美元。因此,弥补欺诈成本比防止欺诈成本更便宜,华盛顿特区莫里森&弗斯特律师事务所律师、前美联储律师奥利弗·爱尔兰(Oliver Ireland)表示。
那些日子已经过去了。两年前,加州立法者颁布了一项法律,要求公司在客户的信息被泄露时通知他们;它把那些曾经被忽视的事件变成了头条新闻。自那以后,已有20多个州签署了类似的法律,其他州也在考虑这样做。公众对安全问题的日益关注引发了代价高昂的集体诉讼;即使美国银行和瓦乔维亚银行在新泽西州的数据盗窃诉讼中胜诉,仅相关的法律费用就将高达数百万美元。
政府也很关心。金融机构的数据安全问题在1999年的《格拉姆-利奇-布莱利金融现代化法案》中得到了解决,该法案要求银行制定并实施书面政策,以解决客户数据的行政、技术和物理保护问题。尽管《萨班斯-奥克斯利法案》没有直接涉及信息安全,但它要求银行管理层保证其数据的完整性。金融高管表示,为了证明数据的完整性,他们必须能够证明自己的数据没有被篡改。除了这些规则之外,还有联邦金融机构审查委员会(Federal Financial Institutions Institutions Institutions Council)发布并由包括美联储(Federal Reserve)、联邦存款保险公司(Federal Deposit Insurance Corp.)和货币审计署(Office of the Comptroller of the Currency)在内的成员国强制执行的指导方针,很容易看出金融机构抱怨监管过度的原因。
T.Rowe Price的Mazarakis说:“作为公司,我们都可以从更多关于预期内容和谁在执政的澄清中获益。”。“在某些规则以及谁是某项立法的最高仲裁人方面存在一些混乱。”
要求国家数据安全标准的金融机构可能很快就会有一个。目前,参议院和众议院各委员会正在讨论20多项法案;最有可能成功的是参议员阿伦·斯佩克特(Arlen Specter)提出的《2005年个人数据隐私和安全法案》(Personal Data Privacy and Security Act)。它呼吁采用“合理安全措施”的国家标准,对寻求获取敏感个人信息的第三方进行认证的程序,以及对如何处理机密文件的规则。专家们表示,该法案可能会与其他一些法案结合在一起,并在明年初获得通过。
然而,新的立法并不能消除这种痛苦的感觉,即任何时候都可能发生危及敏感金融数据的事情。金融高管们承认,即使他们投资最好的技术,做所有政府和客户要求他们做的事情,他们保护的机密记录也永远不可能完全安全;技术故障,无辜的人为错误和犯罪心理的繁衍都保证了这一点。
纽约骨质组织的格雷诺说:“即使政府也不能百分之百保护我们的国家。但这并不意味着你不应该采取保护措施。”