因未能保护客户免受网络攻击 Tesco被FCA罚款1640万英镑

英国金融市场行为监管局(FCA)对Tesco Personal Finance plc实施了1640万英镑的罚款，因其未能履行应尽的职责保护客户免受网络攻击的损害。这场网络攻击发生在2016年11月。

网络攻击者利用Tesco在借记卡设计、金融犯罪控制和反金融犯罪团队等方面的缺陷实施了攻击。这些缺陷使得Tesco的个人经常账户持有者遭受了很大程度上可以避免的事件。这场发生在48小时内的网络攻击盗走了226万英镑资产。

FCA执行和市场监督执行董事Mark Steward表示：

“FCA今天对Tesco的罚款反映了这样一个事实，即FCA对未能保护客户免受可预见风险影响的银行没有容忍度。这次攻击是一个警示，表明Tesco直到情况不对后才进行了适当的处理。这太少太迟了。客户根本不应该暴露在风险之中。

“银行必须确保自己的金融犯罪系统以及设计和运营这些系统的个人能够从一开始就切实降低此类攻击的风险。应首先降低网络攻击得逞的风险，而不仅仅是对攻击做出反应。事后Tesco已加强了控制，目的是防止此类事件再次发生。”

FCA的原则2(Principle 2)要求公司以适当的技巧、谨慎和勤勉经营其业务。Tesco从事银行业务，其基本业务是保护其客户免遭金融犯罪。

FCA发现Tesco违反了原则2，因其未能履行其应有的技能、谨慎和勤勉：

·设计并分发借记卡

·配置特定的身份验证和欺诈检测规则

·采取适当的行动，防止可预见的欺诈风险

·以足够的严谨性、技巧和紧迫性应对2016年11月的网络攻击

网络安全需要韧性。金融机构的董事会负责确保其网络犯罪控制的设计符合弹性标准。董事会必须设定适当的网络犯罪风险偏好，并确保其机构的网络犯罪控制旨在预测并降低攻击得逞的风险。如果攻击得逞，董事会应确保银行的应对计划清晰、设计良好、经过精心演练，并确保该行迅速从事件中恢复过来。在遭受攻击后，金融机构应进行根本原因分析，了解和修补使金融机构易受攻击的漏洞，以降低未来攻击的风险。

在这次攻击发生后，Tesco立即实施了一项全面的补救方案，投入了大量资源，以改善银行易受攻击的缺陷，并对其金融犯罪控制进行了全面审查。它在加强其金融犯罪系统和控制以及操作这些系统的个人技能方面作出了重大改进。

Tesco为FCA提供了高水平的合作。通过这种级别的合作，其全面纠正方案充分补偿了客户，并承诺停止相当大比例的未经授权的交易。基于这些考虑，FCA给予Tesco 30%的罚款减免。此外，Tesco同意提前解决该问题，根据FCA的执行结算程序，该案例有资格享受30%(第一阶段)罚款减免。如果没有这些减免的话，FCA本该对其实施3356万2400英镑的罚款。

本文翻译为外汇天眼提供，原文出自FCA官网