网银被盗拷问银行安全 | |||||||
---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年08月22日 16:59 赛迪网 | |||||||
【赛迪网讯】安全问题始终是伴随网上银行发展的关键环节。如今,已经从信息安全环节、保障安全的技术手段发展到法律法规环境建设和消费者如何维护自己的权益。 “我们的判决依据主要是假身份证问题。”浙江省 永嘉县人民法院副庭长陈光欣,口气平缓而坚定。被媒体广泛报道的“我国首例网银被盗案”,他是二审法官。2006年7月25日,浙江省永嘉县人民法院作出了被告中国农业银行永嘉县支行赔偿储户全部存款10.25万元及利息的二审判决。 意外被盗 2002年10月,浙江省永嘉县人洪荣尧在农业银行永嘉支行罗浮营业所申办了一张借记卡。2005年2月2日,洪荣尧收到银行发来的手机短信显示,其借记卡内少了10.25万元。他跑到银行交涉,说明自己没有汇款,并要求银行冻结款项。但为时已晚。农业银行的钱已经汇到了别人的账上,而此时,银行并没有权力冻结,他遂向公安机关报案。 “洪荣尧自己说,曾因业务需要将借记卡的密码告诉过他人。”陈光欣副庭长在审理案件中得知。经调查,2004年11月22日,有人以“洪荣尧”的名义持假身份证到农业银行温州市分行开通了网上银行业务,获取了网上银行的客户证书及网上银行密码。 注册成功后,此人于2005年2月2日通过网上银行将洪荣尧借记卡内的10万多元资金分两笔转划至他人账户,后领取了该款。而目前该案尚未侦破,被冒领的款项也无从追回。 虽然案件一审的审判员调职他处,未能联系上。从案件判决可以看出,法院认为农业银行未能认真核实验明办理网上银行注册人提供资料的真实性,违反了《中国农业银行网上银行业务章程》第六条的规定。正是由于银行的违规操作,导致犯罪分子获取了进入网上银行的客户证书和网上银行的密码,并成功注册。 因此,银行在受理网上银行注册过程中存在严重过错。其次,银行不能一概以“凡是凭客户证书和密码进行操作皆视为客户本人所为,银行不承担任何责任”这一格式条款作为银行的免责理由进行抗辩,把本属于银行承担的责任也推向储户,这无疑有违公平的原则。 永嘉县人民法院据此做出一审判决,中国农业银行永嘉县支行赔偿储户洪荣尧存款10.25万元,并支付利息。 一审判决生效后,中国农业银行永嘉县支行向检察机关提起申诉。检察机关认为一审判决有误,提出抗诉。永嘉县人民法院随后对案件启动了再审程序。陈光欣副庭长在案件二审中维持了原判。 安全端口,前移了 “现在网上银行暴露的多是交易过程中的问题,这个案件揭示出业务办理之初的安全问题。”赛迪顾问赵刚博士分析。案件反映出银行内控的问题,即便在正常业务中,柜员的每笔业务都会经过复核资料真实性后,才可以做。 2005年4月1日起开始实施的《电子认证服务管理办法》第三十条规定,有下列情况之一的,电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验,并对有关材料进行审查: (一)申请人申请电子签名认证证书; (二)证书持有人申请更新证书; (三)证书持有人申请撤销证书。 由此可以看出,当申请人申请网上银行业务时,银行应当尽到审查其身份真实性的义务。 “在一开始办理网上银行业务时,国内有些银行,为了争抢业务,往往忽略了安全问题。”赵刚博士指出,在开展新业务和安全方面,一直存在矛盾。如果在客户办理业务时,制定一系列繁杂的安全措施,也可能使客户感到不便。比如,现在有技术专家探讨,能否在柜员那里设密码。除了身份证审查之外的,采用指纹或面部识别技术进行验证,单就技术而言,现在是可行的。 实际应用效果则不一定好。如今,让他人代替办理电子支付业务的有很多,尤其是企业业务,他们多半是拿当事人身份证去。添加了一个指纹密码,就要求本人到场。这样,只要本人不在场,业务就办理不了,会给客户带来诸多不便。 电子支付安全,时变时新 “‘我国首例’的说法言过其实了,我记录的媒体报道中所谓首例网银被盗案就已经有3、4次了。”中国金融认证中心的曹小青副总经理认为。但他承认,用户与银行由于网上银行造成资金被盗,引起民事诉讼到法院打官司这可能是第一例。 作者:王占波 网上银行是银行通过互联网这种特殊形式、手段向其用户提供的金融业务服务。互联网的全开放和不设防特征既是优势,可以令其迅速发展渗透到各个领域,也是造成安全隐患的根源之一。曹小青指出,安全问题始终是伴随网上银行发展的关键环节,一直是人们关注的焦点。如今,已经从信息安全环节、保障安全的技术手段发展到法律法规环境建设和消费者如何维护自己的权益。 由QQ群和网络论坛发展起来,工行网银受害者集体维权联盟已经建立了自己的网站(www.ak.cn)。在联盟声明中,提到“我们都是由于非自身原因,被罪犯利用工行网银漏洞造成牡丹灵通卡存款被盗的”。文首提到的“国内首例网银被盗案”就一直挂在网站的首页。 中国电子商务法律网总裁阿拉木斯表示,对于网上支付,由于增加了网络安全隐患和虚拟主体隐患两大风险,安全风险较高。在这样的情况下,金融机构应不断加大安全保障力度,提高网络安全性与身份审核的可靠性,另一方面,广大消费者也更要提高防范意识,尤其不要把自己网上银行或银行卡的密码告知他人。 风险,如何面对? “使用国家批准的第三方认证机构的数字证书,这就是规避网上信息安全的有效方法。” 曹小青建议。他认为,第三方认证机构的专业素质,能有效降低银行的电子支付安全成本。 “数字证书也有一个安全级别设置问题。”赛迪顾问的赵刚博士指出。国内有一家银行曾经对数字证书的校验密码设置了有30多位,一位用户输入密码后,半个多小时没有反应。后经查明,是密码太长了,改为两位后,很快就有了回应。 要发展新业务,必然会带来风险的隐患。为了业务安全,曾有国内银行对柜台设置了两个ISP接口接入,后台又设置防范严密的防火墙,网络安全措施层层把关。这么一套安全体系设置下来,安全性的确得到了提高,但业务效率一下子降了下来。毕竟对银行而言,发展业务永远是根本。 截至发稿时为止,中国农业银行宣传部的工作人员,一再推说工作忙,拒绝安排采访。不过,8月16日的中国农业银行“信息快递”的头条新闻仍是透露出一丝信息。 这条名为“农行银行卡差错风险处理系统投产 ”的消息指出, 8月1日,随着农总行数据运行中心、总行信用卡中心、36个一级分行,以及江苏、浙江分行辖内的23个二级分行的入网使用,标志着农行银行卡差错风险处理系统(集中版)正式上线运行。而“系统的投产还进一步提高了各级银行防范银行卡联网业务资金风险的能力和水平,可以支撑风险类交易、差错类交易、查询查复类交易、手工类交易等多种业务应用,”并“提供了高效的电子化和现代化服务”。
中国金融认证中心曹小青副总经理
中国电子商务法律网总裁阿拉木斯 链 接 1,据媒体报道,中国工商银行已从本月起停止了大众版网银的交易功能,用户通过自助注册的大众版网银,将不能进行网上对外支付,包括网上购物和对外转账,而只能进行基本的查询功能等。这使得大众版用户无法继续在网上缴纳水电费。此外,9月1日后,在银行柜台办理的静态密码网银客户的每日交易限额从5000元变为300元。这个限额使得需要通过网上支付购买机票等“大件”的网购爱好者无法直接进行支付。对于这类用户来说,今后将需要申请专业版网银,并使用“U盾”或动态口令卡等安全工具。 2,据媒体报道,2006年7月最新数据显示:今年上半年,中国经常上网购物人数超过700万人,这其中又有200多万人选择用信用卡或储蓄卡进行网上支付。 (本刊记者丁亚琳对本文也有贡献。)(n101) 作者:王占波 |