首頁 / 時事直擊 / 金融.經濟 / 科技提高金融安全門檻,資安經濟學興起

科技提高金融安全門檻,資安經濟學興起

文章發表:2020/07/08

撰文:孫維德(David Stinson),譯者:劉維人

洗錢事件造成的監理成本與信譽傷害,足以引起大型銀行高階經理人的注意。資安並不是寫完程式之後就結束,軟體界常用「漏洞獎勵」來解決問題,政府可師法此道,讓那些在自己家抓到犯罪行為的銀行得到補償。

威爾‧史密斯(Will Smith)主演的《全民公敵》(Enemy of the State)於1988年上映,片中有一個有趣的概念:政府可以用網路追蹤每個人的一舉一動,但一次只能追蹤一個人。僅僅20多年之後,生活在社群媒體與智慧型手機時代的我們可能會覺得這有點好笑。

「認識你的客戶」(know-your-customer, KYC)的業務需求,大概也是在那之後不久竄起來的。911恐怖分子輕而易舉地用偽造的身分證開設銀行帳戶一事,把許多人嚇了一跳,於是實際所有權(beneficial ownership)、高知名度政治人物(politically exposed persons)、多層化(layering)之類的術語從此在業內流行了起來。找出這些東西需要大量的資訊,在網際網路出現之前都極為困難。

全面、主動防治金融犯罪

資訊系統誕生之後,人類開始注重網路安全,而當代新科技以及隨之而來的複雜性,同樣為銀行帶來許多新挑戰。這兩者有許多相似之處,而且最後可能合而為一,因為現在已經沒有人能立即了解資訊系統的所有細節變化。網路安全與反洗錢使用許多相同的系統,駭客則已從一種業餘嗜好變成了一種會明顯威脅金融安全的犯罪活動,如今必須用更全面、更主動的方式思考如何防制洗錢(anti-money laundering, AML)與防制其他金融犯罪。

防制洗錢與網路安全的關係之一是,資安經濟學已經成為一項新興學術領域。Anderson與Moore在2007年發表的論文〈資訊安全的經濟學〉(The Economics of Information Security)中寫道,「對資訊安全工程師來說,賽局理論與個體經濟理論,快跟數學裡的密碼學一樣重要了。」但十多年之後,各國的防制洗錢仍流於表面工夫,網路安全能不能給它什麼啟示?

加大洛杉磯分校的傑克.赫舒拉發(Jack Hirshleifer)教授是這個領域的教父,他區分了「最弱環節」(weakest-link)、「總和」(summation)、「最佳解」(best-shot)三種模型的差異,軟體開發的不同階段各自適用上述其中一種模型,控管防制洗錢的時候也一樣。

「最弱環節」模型就像一座圓形島嶼,位於海平面以下,必須建堤防來擋水,每一段堤防的產權分別屬於島上每塊地的主人,而水只要從其中一段漏進來,整座島就完了。所以只要我相信你會花一點心力保養你的堤防,我就有動機花一點心力保養我的堤防,同時政府也可以要求我們各自把自己家的堤防再蓋高一點。

以懲罰方式來防制洗錢就是這樣,防制洗錢金融行動工作組織(Financial Action Task Force, FATF)利用「點名豬隊友」(naming and shaming)的方式,有效地讓各國一起加入監理機制,讓全球沒有任何一家銀行落在監理的範圍之外,並在2018年對違規的兆豐銀行課以2,900萬美元的罰款,讓業界學到慘痛教訓。在這種賽局下,銀行本身就會為了維護聲譽與降低其他成本而投入努力;外部誘因也能強化防制力道;資訊共享則能讓全球各銀行攜手合作。

KYC體驗不佳,甚至因此更換金融機構

不過,目前既有方法讓銀行用極為官僚的方式應付公事。廣為引用的聯合國統計資料顯示,部分的金融犯罪都逍遙法外,拉籌伯大學(La Trobe University)的羅納.波(Ronald Pol)教授表示,「如果犯罪首腦有辦法重寫防制洗錢法規,可能什麼都不做,只要確保繼續目前的狀況,光靠這套規則就能讓當局不斷空轉。」而且目前規則不僅效率很低,還很繁瑣,金融資訊供應商兼新聞機構湯森路透(Thomson Reuters)的一份調查指出,金融機構的企業客戶中,有89%的KYC體驗不佳,有13%因為這件事而改換金融業者。

「最弱環節」模型對於在第一線開發軟體的設計師而言很有用,每個程式設計師都應該設法讓自己寫出的程式從一開始就沒問題,避免程式錯誤害到整個系統。但在更高層次的架構設計中,最後的成果大致會與投入的資源成比例,軟體開發到了這個階段就變成一個總和遊戲,在設計系統時預想各種風險爆開時的傷害,傷害越大的越優先處理。防制洗錢的風險基礎方法(risk-based approach)就是這樣,用已發生的傷害來回推防制的優先順序。

新技術可以強化風險基礎方法的威力,讓銀行統合各種方法,獲得比監理機關更詳細的資料。例如用處理自然語言的程式來識別法律文件,能讓銀行在KYC過程中快速找出相關的關係人;AI可以讓防制洗錢的工作在瞬間完成。但要注意,這些新科技並非只是用來節省人力的,而是用全新的方法來做更多原本做不到的新工作。長遠來看,這類科技可能會提高金融安全門檻,讓銀行承擔更多監理責任。

建立漏洞獎勵系統

而且,資安不是寫完程式之後就結束了。軟體界越來越常用「漏洞獎勵」(bug bounties)來解決問題,讓指定的外部團隊或不特定的外部人員來攻擊系統,如果找到漏洞之後沒有把資訊賣到黑市,就能獲得獎金。這種稱為「最佳解」(best-shot)的模式承認,即使是敵方手中握有的資安情報也有合法的市場價值,它是在系統寫完之後,維護安全的最佳方法,它讓最厲害的人付出心力拿到大獎,並且讓系統中的每個人都因此獲益。

如果政府想讓銀行真的了解金流管控的價值有多重要,也許之後可以建立一個漏洞獎勵系統,讓那些在自己家抓到犯罪行為的銀行得到補償。總和系統的問題是著名的「公有地悲劇」,規模會對防制洗錢的經濟面產生關鍵影響,規模較小的參與者可以利用規模較大參與者所投注的努力。

洗錢事件造成的監理成本與信譽傷害,足以引起大型銀行高階經理人的注意,像匯豐銀行2012年的洗錢案,在和解時就被稱為「該行153年的歷史中最黑暗的一頁」。但規模較小的銀行,則既可能沒有153年的歷史需要捍衛,又無法研發出自己的防制洗錢系統,變成整個體系中最脆弱的一環,這時也許就得投入直接誘因。

直接支付獎勵的典型危險是會產生不當誘因,但似乎不太可能在這種情況下發生。防制洗錢並不是為了要阻斷任何特定部門進入金融體系,事實上,如果漏洞獎勵計畫可以鼓勵銀行去服務那些目前認為風險過高的部門,也許就能解決一些目前的問題。例如洗錢防制已讓小額的國際匯款困難很多,影響了許多開發中國家的經濟。

洗錢防制嚴格,銀行更能抵擋競爭

此外,我們要知道,銀行目前已經從監理中獲益,而且方式並不正當。當洗錢防制日益嚴格,銀行就更能抵抗其他商業模式的競爭,這也是臉書的數位貨幣Libra可能要沒落的主因之一。然而,無論任何一家銀行花了多強的力道去控管,最後的結果都是所有銀行一起承擔,所以大家防制洗錢時似乎都偏向做做樣子。這種時候,個體經濟學往往神準。

防制洗錢的系統跟網路安全系統一樣,通常規模越大越有效率。而小型的第三方平台也正把許多行銷、營運、監理工作分出去,威脅到傳統銀行,尤其是小型傳統銀行的角色。不過小型銀行還是有一種較不仰賴科技的核心優勢:它們更了解自己的客戶。當然,因此獲益的往往不是顧客,而是政府。

第三方平台可以外包某些KYC與洗錢防制的工作,讓銀行,尤其是小銀行的內部流程更有系統。而且很多可以外包的工作剛好都直接接觸客戶,例如日復一日教新客戶熟悉系統的工作,似乎就是外包與自動化的首選目標,即使外包者搞砸了,最多也只是丟了新客戶,不會影響本行品牌。

不過複雜的問題與流程,例如涉及多個交易的分析,通常就得留在內部處理。直至目前為止,洗錢防制通常都集中在特定流程或地理區域上,而且因為該工作涉及許多層面,未來可能也不會改變。

隨著世界聯繫日益緊密,而且犯罪因此擴張得更有效率,銀行正成為監控型國家不斷增長的關鍵元素。也許我們該承認,如今銀行對政府比對消費者而言更重要,並因此調整銀行的收入模式。漏洞獎勵模式可能會對那些經常面對面接觸客戶的小型老銀行更有利,畢竟洗錢成敗的關鍵是人,而非科技。

^