罚款430万!中国银行9项违规,疑指向百亿“绿洲工程”
在金融数字化的浪潮推动下,最近几年大型国有银行纷纷启动了自主可控核心系统改造,开展分布式核心系统的升级改造工程,与此同时,网络信息和数据安全已经越来越受到监管重视,成为了国家金融监管总局日常监管的必选项。
不过最近,六大行之一的中国银行因信息系统领域9项违法违规事实,被罚款430万元,金融监管总局作出处罚的时间为2023年12月28日。
根据处罚内容,中国银行主要违法违规事实包括:部分重要信息系统识别不全面,灾备建设和灾难恢复能力不符合监管要求;重要信息系统投产及变更未向监管部门报告,且投产及变更长期不规范引发重要信息系统较大及以上突发事件;信息系统运行风险识别不到位、处置不及时,引发重要信息系统重大突发事件;监管意见整改落实不到位,引发重要信息系统重大突发事件;信息科技外包管理不审慎;网络安全域未开展安全评估,网络架构重大变更未开展风险评估且未向监管部门报告;信息系统突发事件定级不准确,导致未按监管要求上报;迟报重要信息系统重大突发事件;错报漏报监管标准化(EAST)数据。
一般而言,信息科技风险是银行风险管理三道防线之一,六大国有大型银行基于分布式基础架构平台、分布式数据库、全面云化以及核心业务重构等多个方向,都在加大科技投入,开展核心系统升级改造,完善信息安全管理策略、制度规范和技术标准等机制,优化信息安全治理机制,推进网络安全技术架构建设以及深化系统安全漏洞管理。
其中,提升信息识别准确率,研发灾备架构提高灾备建设和灾难恢复能力,又是银行信息系统安全的基础要求。
按照此次违规违法项目反向搜索来看,在大型国有银行当中,中国银行是首个被发现在总行层面,存在如此多个重大的信息安全隐患。
实际上,在2020年中国银行就启动了“云计算+分布式+自主可控”企业级平台架构建设,命名为“绿洲工程”(OASIS),中国银行对外宣布自主研发了“鸿鹄”(分布式技术平台)、“瀚海”(移动端开放框架)、“星汉”(大数据开发框架)三大基础技术。在中国银行官网中还特别强调,绿洲工程基于企业级安全架构,通过建设数字脱敏、数字水印、应用安全开发套件等安全组件,健全完善数据安全防护措施,信息安全防控更加全面充分。
从2019-2022年,中国银行对外提供的金融科技投入金额,也在不断逐年扩大,2019年为116.54亿元,2020年是167.07亿元,2021年是186.18亿元,2022年的215.41亿元,合计超过680亿元。中国银行的科技人员规模,也是快速暴增,2020年底只有7696人,但到2022年底已经达到了13318人,短短两年里几乎翻了一倍,人员扩张速度远远超过了工行、农行、建行、交通银行等5个大型国有银行。
并且,中国银行还成立了子公司中银金融科技有限公司,专门开展金融科技技术开发,可以说中国银行是在金融科技领域最激进的银行。
中国银行在2023半年报提到,通过实施绿洲工程和三横两纵,成立了集团网络安全中心、网络攻防实验室,中银金科高质量服务集团数字化转型,深度参与“绿洲工程”、数据治理等重点工程,推进新一代自主可控的集团一体化反洗钱、风险、审计等系统建设,持续优化信贷、数据等产品。
然而此次中国银行被指重要信息系统投产及变更未向监管部门报告、且投产及变更长期不规范,信息系统运行风险识别不到位处置不及时、部分重要信息系统识别不全面,灾备建设和灾难恢复能力不符合监管要求,信息系统突发事件定级不准确、引发重要信息系统较大及以上突发事件。每个都指向了重要信息系统,说明此次上述违规或与“绿洲工程”有关。
值得注意的是,“绿洲工程”正是中国银行前任董事长刘连舸推动的中国银行“十四五”期间最重要的数字化基建项目。不过今年10月,最高人民检察院依法以涉嫌受贿、违法发放贷款罪对刘连舸作出逮捕决定。
另外信息科技外包管理不慎、网络安全未开展安全评估、网络架构变更未评估未报告、迟报重要信息系统重大突发事件、错报漏报监管标准化(EAST)数据,这四项明显是相关负责人员的责任,是管理本身的问题。
作为一家资产31万亿元,每年IT投入不少于百亿的大型国有银行,中国银行此次在网络与信息系统安全被查出众多漏洞,多少反映出在信息安全和风险管理能力不足,有些令人出乎意料。
信息系统的安全和风险,直接关联管理人是首席信息官和风险总监有关。
2020年刘秋万作为首席信息官,刘建东作为风险总监,二人领取了相同的薪资,均接近118万元,是当年董监高当中领薪最高的两个人。
因为到退休年龄,刘秋万工作的2021年10月25日,当年领取的薪资也达到了101.56万元,而当年风险总监刘坚东的年薪达到了121.51万元,成为了当年领薪最高的董监高人员。
2022年5月,孟茜正式成为中国银行的首席信息官,当年取的年薪仅为74.54万元,刘建东依然为风险总监,领取的年薪高达126.79万元,同样是当年领薪最高的董监高人员。
