只是一个内部小小IT系统存取控制的疏失,就让法国兴业银行付出了72亿美元的天价。CIO应该对此案例有所警惕,对于企业关键性的IT系统安全,包括员工存取控制等项目,最好要再仔细地重新检视一次,是不是自己也有犯下类似的错误。
程序失误加上系统失效是个致命的结合,也是CIO的梦魇:一个针对不肖交易员的调查指出,Jerome Kerviel在法国兴业银行(Societe Generale)弊案中被指控的诈欺行为,揭露了金融界与IT内部管控的明显缺失,而那正是由一位具备IT技术,而且是经过授权而存取系统的内部员工所为。
Kerviel的弱点程序攻击(exploit)导致法国其中一个最大的银行损失了72亿美元,当法国警方对这位31岁交易员的交易活动进行深入调查时,持续地揭露出更多缺失。4月18日法国兴业银行任命其前财务长Frederic Oudea为新任CEO,以替换Daniel Bouton (但他仍保有董事长一职)。外界亦盛传此公司将被接管。
同时,IT专家表示,此案例对于企业在管理IT相关风险上,应该能够发挥警示作用。
“我们花了非常多的时间在防范来自外部的威胁。”BearingPoint管理技术顾问公司总经理暨全球风险、法规与安全之解决方案领导人J.R. Reagan表示:“但是,就企业而言,更大的风险威胁是来自内部。”以法国兴业银行来说,不仅IT安全管控不足,">银行员工也没有对当时所产生的红色警讯进行彻底地调查。据Ponemon机构最近的调查显示,“内部人员的威胁,为最显著的信息安全风险之一。”该机构于2月时发表针对700位IT从业人员的调查报告时发现,有78%的回复者表示,他们经常发现员工拥有太多与他们工作不相关的信息存取权限;与此同时,有59%认为这类的存取行为会引发企业风险。再者,IT人员发现营运主管往往忽视这些问题的严重性:74%的回复者表示,高阶管理部门并未将“对信息存取的管理”视为策略性议题。
许多企业经理人并不知道他们面临到的风险是什么,就算知道,他们也可能会在历经一段艰困的时期之后,才能在这潜在成本与获利之间取得一个平衡点,企业管理联合会(EMA, Enterprise Management Associates)安全专家暨研究主管Scott Crawford表示:“在善用良机与有效地实施IT风险管理之间,总是会有个微妙的平衡作法。”他指出:“企业风险在IT中所曝露的问题,对整个企业仍旧是一大挑战─尤其是对CIO而言。”
法国兴业银行的案例,提供了IT领导人在如何管理与存取相关的风险上许多教训。
攻击具风险之业务
法国兴业银行其中一项重要的营运项目是衍生性金融商品(derivatives):金融工具让交易员得以在广泛的资产组合范围下(像是股票、债券或商品等)建立起复杂的买卖合约,并且在交易中试图为某一方降低或规避金融风险。然而,操作衍生金融商品的交易员需要带一些“攻击性”,而那往往可能会招至更大的风险——之前一位衍生性金融商品交易员Nick Leeson就因其未受经授权的投机交易,导致英国Barings Bank于1995年突然倒闭。
这家法国银行并非是最近唯一遭逢内部员工危险行为的公司。抵押贷款债券承销商Bear Stearns就因为它在次级抵押贷款投资失利而濒临破产,最后在2008年3月时被J.P. Morgan Chase以每股两美元的价格收购,而当时委托人对于该公司能否偿还其借贷已完成失去信心。而在2月时,Credit Suisse提出一个出人意表的报告,其资产账面价值突然降低了28亿美元,该公司CEO Brady Dougan将原因归咎于“任职于公司某些职务的一小部分交易员,在信用业务中出现错误标记与标价失误”。Credit Suisse最近被任命为全球债权抵押证券首长的Kareem Serageldin,也是在内部错误检视后被停职的一员。
Dougan向分析师能提出让他们安心的保证,甚至宣布“我们真的觉得已经将我们的风险管理得非常好了。”但是,公司仍旧需要“持续地专注在改善它的风险管理实践与程序”。
据BearingPoint公司的Reagan观察,由于法国兴业银行的交易员需要处理大量、高额,而且节奏快速的股票交易,可能会让业务主管因此“无法忍受”任何安全措施,因为那会减缓他们的作业效率。例如,法国兴业银行使用单一因素认证(以单一办法,像是密码,以准予存取系统),而非双因素认证(要求个人必须使用两种鉴别自己的办法,以获准存取)。