1、企业电子支付平台风险识别
电子支付平台所面临的风险分为三个方面进行识别,分别是基于业务的风险识别、基于财务的风险识别以及基于系统的风险识别。
主要风险识别指标如下图(图1):
图1 电子支付平台风险指标
1. 基于业务的风险
(1)市场风险
本文分析的电子支付平台面临的市场竞争风险主要是指因竞争者、供应商。由于电子支付平台与企业的内部财产有直接挂钩,由于电子平台依托的网络平台虽然有着快捷,便利的优点,但其风险也传播的更快、危害性更大。一旦电子支付平台面临安全方面的风险,很容易通过网络环境的快速传播对企业乃至整个金融界引起巨大的风险,严重则导致市场经济秩序的混乱。
(2)政策风险
政策风险一般指企业因未遵守电子支付相关的法律法规,违规或者违法使用电子支付平台,而可能遭受法律制裁、监管处罚、重大财务损失或声誉损失的风险;或者由于法律法规不够完善,使得电子支付平台业务由于新政策的出台而被叫停而遭受的风险。
(3)声誉风险
支付平台是作为担保的媒介,其自身的商业信誉对企业支付平台十分重要。
随着当今社会网络环境不断变迁,在网络媒介发达的现在,人们通常会通过微博、朋友圈等媒介记录自己的经历、讲述个人遭遇来维护权益,各式各样的思想和网路信息汇聚在此。
一旦一个企业的电子支付平台发生风险,会在社会上造成不良的舆论影响,社会舆论的影响会通过互联网放大,面对社会舆论的影响以及信用危机,如果这时企业没有良好的面对危机的公关能力或者应急措施,其在社会上的声誉必然会受到影响。
(4)运营风险
企业支付平台风险对企业运营方面也会带来影响,首先会对企业员工带来更大的工作和经济上的压力,主要是支付平台相关设备终端在日常运行中容易发生故障,所以需要企业加强对相关设备的维护保养力度和加大对相关设备的维护投资。
但一些企业为了节约成本,没有根据实际情况对相关设备进行维护保养,同时也控制支付平台相关设备维护成本,从而加大了支付平台相关员工处理故障的工作压力,同时因为这些企业对支付平台相关设备维护的不重视,也会对整个支付平台的管理体系造成影响。
2. 基于财务方面的风险
(1)财务风险
企业电子支付平台与企业的财务有着直接的联系,因此财务方面的风险是企业电子支付平台所必须面对的。在企业的实际生产经营过程中,电子支付平台使用越广泛,面临的财务风险概率也就越大。通常企业在通过电子支付平台实施交易时候,涉及的交易流水多,交易数额巨大。
一些企业在面对支付平台风险审查时候,为了贪图营业指标和回报,时常会出现谎报瞒报或者降低标准的情况,这些违规行为无可避免的会给企业的财政带来风险。一旦企业电子支付平台发生风险,其财产方面的损失将不可估量。
(2)洗钱与盗刷风险
洗钱风险是指不法分子通过支付平台漏洞进行黑客入侵从而进行洗钱或恐怖融资活动实现资金由“黑”到“白”转变的可能性。在电子支付平台出现之前,不法分子是借助如走私船只类的有形载体实现资金非法转移,这些方法操作性低且风险高。而运用电子支付平台安全漏洞洗钱给不法分子带来了极大便利。
随着互联网在我国的普及程度越来越高,电子支付平台的广泛应用,洗钱与网络盗窃等犯罪也开始了在互联网上的猖獗,通过互联网进行“网络盗窃”等经济犯罪,无疑相较于传统犯罪隐蔽性更强,追查难度更大且容易防不胜防,警方对于侦破此类案件的困难也更高,正因为互联网的开放性和不可预知性,企业支付平台面临的洗钱与盗刷风险带来的经济损失通常更大也更加难以防范。
3. 基于系统的风险
(1)系统性风险
电子支付平台系统性风险主要有硬件设备与软件程序出现故障造成的系统性风险。电子支付平台系统的运行需要通过大量的硬件设备支持,如风险管理系统、反洗钱系统等。
但系统在开发时,无法完全预测外界可能的变化,也存在无法将现有情况完全考虑或评估,这种情况下,可能造成由于业务量突然增加而造成服务器瘫痪的情况。硬件意外故障也可能导致系统性风险,例如硬盘损坏、计算机死机等。
(2)操作风险
与系统本身的风险不同,操作风险主要是外部因素(人为因素)造成的,因为操作不当导致平台支付密码或者密保的泄露,或者在支付平台系统在传递数据与信息过程中,遭到黑客或者竞争对手的非法攻击,从而导致企业重要的隐私信息泄露。
曾继霞(2009)认为,电子支付平台系统风险一定程度上加大了操作风险,使其影响范围扩大,甚至整个金融系统都可能存在潜在的风险。
2、企业电子支付平台风险来源
1. 网络环境
企业电子支付平台安全风险产生的首要原因便是不安全的网络环境,其主要包括两方面的内容:
第一是网络本身的安全问题,因为企业电子支付平台所依托的网络是一个充斥着巨大安全隐患的地方,例如黑客攻击,网络病毒的骚扰等,其原因是网络本身是一个开放的平台,尽管随着近几年网络快速发展,网络安全技术已有着显着的进步,但网络对于企业和个人的信息保密和信息安全还有待进一步的加强,此外不同企业的信息交易与保密标准也有着不同;
另一方面是个人网络操作导致支付账号密码泄露,在尽管一些企业有着发达的支付平台安全的技术体系下支撑下,很难有电脑病毒、黑客攻击及手机恶意软件可以入侵支付平台的计算机系统。大多数都是个人误进钓鱼网站造成计算机层面的支付安全问题,钓鱼网站利用用户的需求引诱用户进行虚假的诈骗网站,从而盗窃企业或者个人用户的财产。
上述通过网络造成企业和个人的经济损失都可以称之为网络盗窃,例如发生在 2009 年马鞍山市佳达工业园某科技公司被窃取 400 万元电子产品便是利用网络上的安全漏洞导致企业的财产被盗,由此可见,支付平台所面临的首当其冲的安全问题便是网络上的安全隐患,在互联网的大数据时代,企业支付平台所面临的网络安全问题需要得到各企业的重点关注。
2. 支付平台系统安全漏洞
相比于网络风险,企业支付平台系统本身也存在安全漏洞,无论企业电子支付平台采用何种形式完成支付,支付安全永远是企业发展电子商务的头等大事。
通常情况下,企业通常是通过电子支付终端系统来完成交易,如果企业未能对该终端进行安全防护或者防护措施不到位,这便会导致网络黑客乘虚而入,从而造成企业经济和财产的损失。
另外企业支付平台里面还有着企业的一些重要信息,对参与企业之间交易双方一些各方身份和企业之间的信息就有泄露的风险,不法分子就有可能用获得到的信息和身份来实施消费转账甚至冒用企业的隐私机密来实施犯罪等。
2018 年 6 月中国广州发出了多起企业的网络盗窃案件,便是利用支付平台上的安全漏洞导致用户的财产被盗,网络骗子通过某种网络技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付 APP 存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪,在短短三个月内,广州警方已经接到 16 起该类似的网络犯罪。
如果把网络风险比作是现实里的盗贼,那网络支付平台的安全防范就是家里的防盗门,企业除了小心网络本身的安全风险,对于本身支付平台的安全系统也要加强,另外企业支付平台本身需要解决另一大问题便是商家,交易对象的合法身份确认的问题。
3. 人为的不安全操作
企业电子商务平台安全系统即使再完善,也是需要人为操作来完成交易的过程。在上述“网络环境”里便提到,因为人为操作导致误入钓鱼网站,导致了支付密码的泄露。
另外在电子支付过程中,窃取通信信息也是最简单的获得非加密网络信息的一种形式,如果不法分子截取了通信中的交易信息,不法分子便可以从中获得足够多的交易信息,就可能会冒用用户信息来进行交易,从而盗窃支付方或者交易方的财产,从而给交易的支付方或者接收方带来经济上的损失。
4. 验证码设计缺陷
由于多数企业电子支付平台喜欢通过设计验证码来实施进一步的安全管理,或者通过动态的支付密码和口令来增强交易的安全程度,这一目的是为了利用动态支付口令或者验证码的随机性和时效性。但由于上文提到的支付操作过程中存在的通信安全风险,导致验证码容易被窃取,多数验证码或者动态口令只有一分钟,因此对于不法分子破解难度较小。
另一种企业设计的安全防护措施便是指纹识别,通过在支付操作终端增加指纹识别系统,只有录入指纹的指定操作人士才可以实行支付操作,不可否认指纹之一独特的生物特征作为交易口令一定程度上提升了交易过程中的安全系数,但随着科技的发展,指纹识别功能也不是绝对安全的,例如国外之前发生过的几起网络黑客成功破解指纹解锁,最终成功造成几家企业的财产损失。
究其原因是现在有某种工艺可以模仿人类的指纹,就可以成功解锁指纹密码,虽然相比于验证码破解难度较大且针对性较强,但该方案还是存在着一定的安全的安全风险。
5. 相关法律法规不够完善
相比较于上述几种支付平台的安全风险需要企业本身引起重视,如何保障企业和消费者在网络交易时候的合法权益是政府需要考虑的问题。目前我国的电子支付虽然经过十几年的发展,已在企业和消费者中得到了普及,但电子支付的管理体系还不够健全,相关的法律法规还不够完善。
正因为法律不够完善,让不少不法份子有了钻法律漏洞的可乘之机,法律的威慑力不够,企业和消费者的权益也就得不到应有的保障, 因此相关部门要思考如何建立和完善网络银行的信息检测、跟踪等法律法规,保护企业,银行和消费者的三方权益,从而从根本上加强对网络盗窃等违法行为的惩罚和打击力度。
综上所诉,目前企业电子支付平台面临着上述种种安全风险。对于企业来说,电子支付首先得保证其交易过程中的安全可靠,再考虑提高交易效率等问题。对于各大企业来讲,如何优化支付平台系统,如何选用合格的支付平台管理人员,都是各大企业所需面对的难题。
企业电子支付平台随着电子商务的发展目前在我国正处于飞速发展阶段,但其体系还不够完善,运作还不太成熟,法律法规也不太健全,企业的支付安全无法得到保证,因此加强电子商务支付平台的安全管理,建立起完善的电子支付法律法规,是发展电子商务乃至经济发展的重中之重。