〈觀察〉銀行業最大風險恐不在中國違約升高 網路資安才是戰場

11 家國銀參與上海國儲聯貸案驚傳踩雷 51 億元,惠譽信評示警,中國民企違約率頻創新高,恐還有三成未爆彈,但其實國銀在大陸曝險約佔總放款餘額僅約 5.8%,應可如同金管會主委顧立雄所說「我國銀行韌性十足免驚」。不過對銀行業來說,隨著數位轉型、金融科技上雲端,網路資訊安全風險已成銀行業最關注的風險。

上海國儲聯貸連續兩期違約未攤還本息,主辦行為歐系外銀,參貸行多達 23 家,我國也有 11 家國銀參貸,聯貸金額達 51 億元,背後擔保人是母公司大陸國企中國國儲能源集團,目前已進入債務協商階段。

其實,上海國儲聯貸的違約事件只是冰山一角,中國民間企業違約率從 2014 年的 0.6%,攀升至 2019 年前 11 個月 4.9% 的歷史新高,加上貿易戰讓部分企業經營壓力加大,特別是被加徵關稅較多的行業,其債券違約率上升的可能性更高。

惠譽信評甚至示警,中國民企違約率頻創新高,恐怕還有三成未爆彈待解決。

中國經商環境變得嚴峻,國銀已見踩雷風險,不少立委擔憂國銀在中國的曝險風險,到今年 9 月底為止,台灣全體銀行對中國大陸的曝險餘額為新台幣 1 兆 7316 億元,相較於全體銀行 29.47 兆元的放款餘額,大陸曝險約佔總放款餘額 5.8%。

其實,金管會對於中國大陸的信用風險早已高度警惕,國銀在中國曝險約佔總放款餘額僅約 5.8%,應該可以如同金管會主委顧立雄所說「我國銀行韌性十足免驚」。

銀行業最大風險也轉型 純網銀元年駭客攻擊風險升高

銀行業最大風險恐怕不在中國違約升高,因為,銀行業近年來正在數位轉型,最大的風險也跟著轉型。

從安永聯合會計事務所與國際金融協會 (IIF) 過去十年的《銀行風險管理調查報告》觀察,銀行管理金融風險最初的主要聚焦在資本與流動性風險,隨著公司治理與法規完善、加強三道防線及監理後,銀行體質更健全,逐漸降低財務面的風險與槓桿;近幾年的風險關注角度,開始更關心重大的非金融風險,「網路安全」已經連續三年位居首位,成為銀行業認為最大的風險挑戰。

在今年的 2019 臺灣資安大會上,玉山金控資訊長謝萬禮就點出關鍵,他說,金融創新發展與各方應用正因為要創新,就要快速迭代開發,同樣也會因應很大的資安風險。

謝萬禮表示,「資安已經變成金融業基本的條件與要求。」要做好資安,得先盤點自有的資訊系統、資訊資產,以及資料的重要性,只有全面盤點過後,才知道哪些東西要放在最重要之處,而在資安投資上,得依據企業的系統環境、面臨的風險,逐步編列中長期預算。

台北富邦銀行數位金融顧問李維斌也表示,因為銀行業是高度監管的產業,所以要從老舊系統的觀念,轉到創新是困難的,而創新也代表不確定性,很難預測導入服務後會帶來什麼影響,因此,銀行的基礎設施能否應付未來的需求,就很重要。

對於資安投資,李維斌表示,現在的金融服務不是一次到位,而是一步步擴充規模。

隨著台灣將在 2020 年進入純網銀服務時代,趨勢科技認為,金融業者將自家 API 開放給第三方業者,可能為駭客帶來全新的潛在攻擊機會,尤其與行動支付相關的惡意軟體,對開放銀行與支付系統的攻擊將持續增加,在 API 漏洞下,可能遭隱私外洩的資安風險。

金融科技也將上雲 新資安課題疊加而至

此外,金管會考慮讓金融機構適當導入雲端服務,由於金管會已發布「金融機構作業委託他人處理內部作業制度及程序辦法」修正草案,草案中明確揭示:

金管會指出,本次辦法修正,是為因應金融科技發展趨勢,藉適當導入雲端服務,改善金融機構作業處理效率及建置系統上的彈性,金融機構資料的雲端化將有助金融機構經營效率提升及節省成本,但因委外處理涉及資訊安全及風險管理等問題,所以參考各國作法,擬定了部分修正草案,藉以平衡金融機構雲端服務的便利及資安方面權利的保障。

金管會就金融業者雲端化的監管方式採取雙軌制,依照雲端作業委外的重大性與否,區分為 「核准制」 以及 「備查制」,無論是具有重大性的委外作業,或是將作業委託境外業者,都必須採取事先申請核准制,除此之外則是事後備查制。

目前,金融業只有 7.3% 的 IT 預算用於上雲投資,但隨著金管會遊戲規則頒佈,為提供更全方位的金融服務,金融機構多已摩拳擦掌邁向雲端服務新戰場,明年各家勢必會更大舉投資雲端。

然而,採用雲端運算的風險控管,第三方服務供應商管理機制、資料跨境傳輸相關安全控管、如何監督與查核等方式,確保第三方有效執行各項安全控管措施,及保障金融機構與消費者資訊權等,將是金融業把關資訊安全新的重要課題。