• 快捷搜索
  • 全站搜索

“乌龙指”凸显信息系统安全漏洞

2013-09-13 12:26:30作者:潘镭编辑:
面对频发的金融信息安全事件,金融机构不仅需要强化信息安全风险意识,而且要着力研究和防范科技领域内的操作风险,构建防范操作风险的长效机制。

继A股光大“8•16”事件后,8月22日,纳斯达克数千档交易同时暂停3个多小时,包括苹果、谷歌等超过3000家美国上市公司无法交易,出现了世纪大停摆,开创了美股乌龙事件的又一个“里程碑”。近期频现的金融风险事件,无疑为国内金融机构及其监管部门敲响了警钟。

        历史上,金融市场中并不乏“乌龙指”事件的发生。关键是在频发的事件中,交易系统的风控和合规程序为何没能发挥作用?现有金融信息系统的安全风控底线真的缺失殆尽了吗?这些问题正引发金融行业对现有信息风险防控体系的反思。

“乌龙指”触碰风控底线

        “乌龙指”事件充分暴露了大金融机构在享受电子商务的便利之时,漠视信息风险防控的软肋。目前金融机构使用的系统各不相同,一般来说,订单生成系统是券商自主研发,而订单执行系统则外购居多,由于开发的标准不统一,系统间的整合存在诸多缺陷,造成风控系统处理速度太慢,无法满足高频交易的需要。因此由操作错误引发的风险事件一旦发生,系统的风控合规失效也在情理之中。

        经核查,光大证券自营的策略交易系统包含订单生成系统和订单执行系统两部分,存在程序调用错误、额度控制失效等设计缺陷,并被连锁触发,导致生成巨量市价委托订单,直接发送至上交所,从而引发了股市的剧烈震荡。

        一般来说系统操作风险是不可避免的,只能够通过监管机构事前和事后的管控,把出现概率降到最低。  

        尤其是进入互联网时代,金融行业不但面临传统金融活动中存在的信用风险、流动性风险和市场风险,还面临由互联网引发的电子商务技术风险、由虚拟金融服务引发的业务风险。
   
        所以,电子商务风险的防控,必须贯穿于业务需求编写、程序设计、测试、系统上线等全流程,并根据法律和风控的要求,多节点合规防控。现在很多金融机构都有软件化交易,就是根据一定规则由信息系统自动触发的交易,由于反应迅速,这些交易往往能抢占市场先机,取得可观利润,但也可能盲目跟风,操作失误造成巨额损失。

        2010年,美国股市因交易员操作失误,导致股市大跌千点。为防止此类事件再次发生,美国证券交易所建立了系统断路机制,只要股价异常震荡,就立即触动断路机制,自动中断所有交易,从而有效防止因软件错误、人为误操作等导致的股指暴涨骤跌。国内各类金融机构也应仿效,建立类似机制,在软件开发阶段即着手风控和合规的设置,防患于未然。

系统缺陷引发操作风险

        对国内商业银行而言,虽然“乌龙指”事件发生几率很小,但是一旦发生却会带来严重后果。发生“乌龙指”事件除人为因素外,也可能是软件系统自身错误引发的,如柜员操作失误,将存款金额输入错误,并超过制度规定的上限额度,但由于系统设计缺陷,未及时发出预警就完成了整个交易。

        从金融系统的安全角度来看,系统性错误的风险涉及金融账户的授权使用、金融交易的风险管理系统、金融机构与客户的信息交流等,这些系统的设计缺陷都有可能引发业务的操作风险。目前常见的金融系统操作风险主要有以下三类:

        网络安全故障风险。金融交易依托发达的计算机网络开展,相应的风险控制需由应用程序和软件系统完成。因此,网络安全与金融交易能否有序运行密切相关。互联网传输故障、黑客攻击、计算机病毒等因素,都可能导致金融机构计算机系统的瘫痪。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章