開放銀行：銀行數(shù)字化轉(zhuǎn)型未來之路

當(dāng)前，開放銀行已經(jīng)成為金融科技領(lǐng)域的熱點話題，并在全球呈現(xiàn)快速發(fā)展態(tài)勢，國內(nèi)外眾多商業(yè)銀行紛紛布局開放銀行或?qū)㈤_放銀行作為戰(zhàn)略推進。

F5作為全球銀行業(yè)緊密合作伙伴，密切關(guān)注國內(nèi)外開放銀行的發(fā)展進程與趨勢。F5委托金科創(chuàng)新社邀請廣州銀行魏生博士針對開放銀行的現(xiàn)狀、面臨的問題和挑戰(zhàn)；開放銀行面臨的風(fēng)險及應(yīng)對；開放銀行的實踐經(jīng)驗及發(fā)展趨勢等話題撰寫《開放銀行：銀行數(shù)字化轉(zhuǎn)型的未來之路》白皮書。本刊摘取“開放銀行的潛在風(fēng)險和應(yīng)對”章節(jié)。

開放銀行的潛在風(fēng)險和應(yīng)對

銀行業(yè)作為經(jīng)營風(fēng)險的行業(yè)，無論業(yè)務(wù)形態(tài)如何改變，經(jīng)營風(fēng)險的本質(zhì)都不會改變。開放銀行是銀行業(yè)發(fā)展的一種新業(yè)態(tài)，也仍然需要遵循相關(guān)風(fēng)險與安全原則。

01

開放銀行的潛在風(fēng)險

開放銀行涉及的風(fēng)險，主要包括三個方面：一是目前監(jiān)管層尚未出臺開放銀行的有關(guān)監(jiān)管規(guī)則。目前，業(yè)內(nèi)對數(shù)據(jù)的開放范圍、數(shù)據(jù)的安全性、客戶信息的保密性、數(shù)據(jù)傳輸?shù)陌踩砸约伴_放接口的標(biāo)準(zhǔn)化等還沒有相關(guān)規(guī)范，對于如何開放、開放什么等均沒有標(biāo)準(zhǔn)的定義。特別是客戶隱私及數(shù)據(jù)安全的保障問題、黑客攻擊帶來的網(wǎng)絡(luò)安全問題以及政策和監(jiān)管不明確導(dǎo)致的數(shù)據(jù)采集的合規(guī)性風(fēng)險等是業(yè)界比較關(guān)注的。

在數(shù)據(jù)安全方面，API連接服務(wù)提供者、場景建設(shè)者、交易發(fā)起者等眾多主體，導(dǎo)致數(shù)據(jù)泄露的風(fēng)險點增多，任何一方數(shù)據(jù)保護存在薄弱環(huán)節(jié)，都有可能危及數(shù)據(jù)的安全。一旦開放API存在設(shè)計缺陷或是權(quán)限設(shè)置不當(dāng)，惡意攻擊者就可以非法獲取客戶的數(shù)據(jù)，應(yīng)用方就可能違規(guī)使用信息。

在網(wǎng)絡(luò)攻擊方面，API接口具有共享屬性，通過API連接銀行端和外部應(yīng)用端，延伸了銀行的網(wǎng)絡(luò)，風(fēng)險傳導(dǎo)的路徑加長，更容易遭到攻擊。

在業(yè)務(wù)風(fēng)險方面，事前，如果缺少健全的授權(quán)機制，資質(zhì)不佳的外部合作環(huán)境和方式，有可能混水摸魚，非法盜用銀行的服務(wù)和銀行的數(shù)據(jù)，增加風(fēng)險；事中，外部合作方可能超范圍使用銀行提供的接口，將日常的繳費接口用于理財，或?qū)⒔涌诙未虬o未經(jīng)授權(quán)的調(diào)用方使用，帶來新的安全挑戰(zhàn)；事后，如果沒有完備的風(fēng)控體系、糾紛投訴等機制，一旦發(fā)生跨機構(gòu)跨行業(yè)的糾紛，可能出現(xiàn)權(quán)責(zé)不清的情況，進而損害消費者利益。

二是互聯(lián)網(wǎng)“開疆拓土”與銀行“穩(wěn)健經(jīng)營”的基因始終存在本質(zhì)差異。金融是強調(diào)風(fēng)險管控的，非金融是強調(diào)客戶體驗的，需要尋找體驗與安全之間的平衡點。銀行應(yīng)當(dāng)專注主業(yè)、理清邊界，在金融場景生態(tài)建設(shè)中必須確保相關(guān)創(chuàng)新業(yè)務(wù)符合監(jiān)管要求，嚴(yán)格界定各參與方的職責(zé)邊界、強化風(fēng)險研判和管控，嚴(yán)格風(fēng)險隔離、有效控制風(fēng)險傳染。這種金融與非金融的沖突，還體現(xiàn)為金融消費者權(quán)益保護的審慎性與非金融服務(wù)的便利性。如果完全依據(jù)金融消費者權(quán)益保護標(biāo)準(zhǔn)去運營整個場景，在涉及非金融業(yè)務(wù)時服務(wù)效果就會大打折扣。

三是金融業(yè)務(wù)同質(zhì)化。開放銀行后，銀行的個性化特色、品牌優(yōu)勢等均面臨挑戰(zhàn)，特別是對中小銀行而言，面臨開放銀行后，護城河在哪里？特色化服務(wù)如何體現(xiàn)？品牌知名度如何打造？核心優(yōu)勢如何凸顯等諸多問題。

02

開放銀行技術(shù)風(fēng)險應(yīng)對

2020年2月13日，中國人民銀行發(fā)布了《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T0185—2020）。該文件是監(jiān)管部門發(fā)布的首份開放銀行監(jiān)管政策和行業(yè)標(biāo)準(zhǔn)，在滿足平衡服務(wù)快速響應(yīng)與金融信息保護的基礎(chǔ)上，對銀行應(yīng)用程序的接口設(shè)計、應(yīng)用部署、集成運行、運維監(jiān)測及系統(tǒng)下線等全生命周期過程提出安全技術(shù)與安全管理要求。

對照該文件，可以通過自查方式進行問題排查，從而制定機制和技術(shù)應(yīng)對措施。

01

一是建立應(yīng)用方技術(shù)準(zhǔn)入及退出機制、標(biāo)準(zhǔn)，制定管理流程，明確業(yè)務(wù)方和技術(shù)方職責(zé)，在業(yè)務(wù)洽談前期進行嚴(yán)格的背調(diào)、法律合規(guī)評審、合同評審、合作商資質(zhì)及規(guī)模審核，對接企業(yè)信息查詢平臺和黑名單系統(tǒng)進行自動審查，對應(yīng)用方進行身份有效性、完整性、真實性審核及反洗錢黑名單檢查，同步進行技術(shù)準(zhǔn)入評估，降低項目實施風(fēng)險。

02

二是加強開放API服務(wù)治理工作，參考安全規(guī)范要求，更新服務(wù)治理規(guī)范，統(tǒng)一應(yīng)用接口的識別碼編碼規(guī)則，開發(fā)過程中嚴(yán)格執(zhí)行服務(wù)治理規(guī)范。

03

三是對業(yè)務(wù)交易風(fēng)險控制進行需求分析，由開放API平臺提供數(shù)據(jù)，行內(nèi)反洗錢、反欺詐以及交易監(jiān)控等相關(guān)系統(tǒng)進行完善，最終實現(xiàn)對開放API平臺交易場景范圍的全覆蓋。

04

四是提升軟件安全檢查機制。強化服務(wù)安全設(shè)計，整改排查問題，加強接口權(quán)限控制和密鑰管理，完善服務(wù)下線流程等；除已有的安全漏洞輿情監(jiān)測手段外，持續(xù)補充完善監(jiān)測方法，如增加安全輿情監(jiān)測合作機構(gòu)、定期獲取開源軟件網(wǎng)站信息等；建立安全漏洞修復(fù)機制，明確漏洞修復(fù)的方案制定、時間、驗證等要求。

05

五是持續(xù)提升開放API平臺的運維監(jiān)控能力，實時監(jiān)控服務(wù)器運行狀態(tài)、接口服務(wù)狀態(tài)；梳理服務(wù)日志的格式內(nèi)容，并制定日志保留策略，滿足監(jiān)控和管理要求；配置不同的故障隔離策略參數(shù)，實現(xiàn)API級別的參數(shù)控制，解決不同API對于故障隔離異常場景的需求；完善監(jiān)測異常告警機制，專人跟蹤處理，事件統(tǒng)一上報，及時處理異常事件。

06

六是，強化監(jiān)管科技研究與應(yīng)用，利用人工智能、大數(shù)據(jù)、區(qū)塊鏈等信息技術(shù)，建立數(shù)字化的監(jiān)管規(guī)則庫、監(jiān)管知識圖譜和智能化的數(shù)字監(jiān)管平臺，探索新型數(shù)字化監(jiān)管范式，識別開放銀行的邊界，解構(gòu)業(yè)務(wù)數(shù)據(jù)的糾纏，落實各項監(jiān)管要求。