觀點

網路銀行虛虛實實,怎麼管才安全?

2007 / 01 / 02
TOM KANESHIGE
網路銀行虛虛實實,怎麼管才安全?
兩年前, 有個持槍歹徒跑到Happy State銀行位於德州Amarillo這個充滿沙塵的牛仔鎮的分行,準備大搶一筆。「這不是開玩笑,」他對行員說。他把錢塞進背包中,便馬上逃跑了。但是銀行的員工記下了歹徒駕駛的車輛(藍色的四門轎車),警察在幾週後逮到了嫌犯。在這個四周是草原的小鎮中,並沒有什麼地方可供躲藏。今年夏初, 有個年輕人架設了一個詐騙網站,企圖盜取Happy State Bank的帳號。IT員工根據一位住在德州San Antonio親切的陌生人所提供的線索,在歹徒取得該行4,500名線上顧客的帳號前,發現了這個詭計。他們在四小時內關閉了假網站。聯邦探員追蹤到了嫌犯來自Bronx的某個地方。不管盜賊是走路進來還是透過網路進來,有件事情是不會變的:不要惹毛德州人。「打從Jesse James(西部拓荒時代傳奇性的江洋大盜)與黨羽開始打劫銀行,安全問題早已存在許久了,」Happy State Bank的技術資深副總,Jason James說。「安全在這一行已經不是新鮮事了。」為了取得主要競爭者所沒有的競爭差異,Happy State採用了銀行界罕見的作法,即深度接觸的線上客服。網路銀行的出現,使得James與其他四位成員必須為該銀行最重要的企業雄心打頭陣。這個IT部門以自建的方式處理銀行的安全事務,甚至每周得出差一兩次,到客戶家中清除他們電腦裡的病毒、垃圾郵件,以及間諜軟體。「深度的客戶接觸才是我們與眾不同的關鍵!」該行總裁Gary Wells說。「在德州Panhandle地區,關係才是關鍵。這裡的人喜歡坐下來面對面說話,喝咖啡,打高爾夫球,或是打獵。」

開拓安全邊疆
聳立在Amarillo的郊區。挑高的屋頂與牆壁全都以舊西部的牛仔藝術來裝飾。可以看到的還有一個圓形的金庫大門,連六節炸藥都無法將其炸穿。不管用什麼方法,Happy State Bank與其他中型銀行都在努力開拓自己的疆界。今日的銀行不再依靠鋼製保險庫與雙管霰彈槍,而是利用各種科技工具(從防火牆、漏洞分析,到詐騙偵測以及客戶驗證等)以求在Internet這個化外之地自保。

無疑這就像是淘汰遊戲一樣。顧客若認為銀行無法好好保管他的錢,他寧可放棄這家銀行。同時,如果銀行無法符合Internet的安全需求,法規制定者也樂於將其關閉。到今年年終,聯邦金融機構檢查委員會(FEIEC,用來定義美國金融業標準的組織,與其他著名的單位一樣,背後有聯邦準備系統撐腰)將要求銀行在進行線上客戶驗證時,不得只採用單一驗證方式。研究機構Gartner預測2007年時將會有第一家不合規定的銀行收到禁制令(cease-anddesist order)。

但對於中型銀行的CIO來說,這不失為是一項轉機。網路銀行與相關法規的興起,讓IT高層主管在其公司具有更為顯著的角色。Happy State Bank便是如此,James與其四名組員在今年初才獲得勳章獎勵。33歲的James還升職為資深副總,讓他成為擁有超高職位的最年輕主管。「他們做的太好了,」該行總裁這麼說他的IT團隊。「我知道有他們在管控,晚上就睡得更香了。」


家鄉優勢
Happy State Bank不單單僅有舊西部的門面。該銀行早在近一世紀前的1908年便開始營運。J. PatHickman率領一群投資人買下了只有一間分行的銀行,然後在1990年時更名為First State Bank。董事長兼CEO Hickman透過一連串的併購,使得銀行能夠在新墨西哥、奧克拉荷馬,以及德州Panhandle所構成的三角區域成長茁壯。

一些新興的競爭銀行也使用了First State的名字,使得該銀行在幾年前更名為Happy State Bank。(該行的名稱源自於附近一個叫做Happy的小鎮,這個城鎮因為1999年的同名電影Happy, Texas而聲名大噪。)到現在,Happy State自稱擁有18,000名顧客,十多家分行,資產4.7億美元, 年營收4千萬美元。跟他最大的競爭對手Amarillo National Bank比起來,仍舊是小巫見大巫。Amarillo掌握了超過半數的市佔率,而Happy State Bank只有區區的3%。以整個Panhandle地區來說,Happy State Bank宣稱可以拿下了8%左右的市佔率。

儘管交易手續費很高,員工在資產上所佔的資金比率也很大,但是良好的客戶服務讓Happy State仍有其立足之地。他的服務能迎合鄉村的民眾,例如留著落腮鬍,穿著藍色牛仔褲、裝了馬剌的皮靴、頭巾的顧客,活像個走出歷史的牛仔,走到櫃員面前要求提款。「沒錯,這是真的牛仔!」James說。「我們的顧客就是這種型。」1999年,這些過時的高層主管為了取得主要競爭者所沒有的競爭差異,Happy State採用了銀行界罕見的作法,即深度接觸的線上客服。

1999年,這些過時的高層主管吝嗇地投注了資源在網路銀行服務上。「我們必須這麼做。」Wells 說。他還說他兩個正值讀大學年紀的小孩,也比較喜歡線上銀行,而不是傳統的紙本支票以及印刷的存摺。即使Wells已邁向網路時代。「我老婆和我在今年第一次決定開始在網路上付帳單。」他說。

隨著網路銀行服務的建置,Happy State總算是駛進了科技紀元。該銀行將IT部門由原來的一個人擴編為五個人,其中還包括了Duane Hall,他是個網路仲裁者以及安全神槍手,James也獲得晉升,他在這土生土長,1993年就開始進入銀行業。在過去幾年,該銀行每年大概花了500,000美元在科技設備上。

在第一年,有500位顧客註冊了Happy State網路銀行的服務,現在數字更增加到4,500位。IT部門要不斷地防治來自網路的盜賊,他們很會鑽系統漏洞, 不管是透過網址嫁接(Pharming)、詐欺網站與哄騙手法,還是惡意軟體以及網域名稱伺服器污染等。「隨著我們日漸龐大,安全已成為IT部門的主要機能。」Hall說。


高度科技,深度接觸
總裁Gary Wells說線上銀行的客戶仍需要深度接觸的客戶服務。為了因應,該銀行已佈署了各項安全措施,以維護線上客戶的安全。顧客的帳號密碼會透過郵件寄送,而銀行還採用了Netscape的SSL來保護客戶瀏覽器與銀行防火牆內伺服器的通訊。Cookie則採用了多一層的驗證與授權機制。但cookie只是驗證客戶的方法之一。其他的方法還包括了昂貴的生物特徵辨識設備到金鑰基礎建設等。銀行通常會採用最適合其客戶的驗證方法。矽谷的一家中型金融機構Technology Credit Union,在兩年前便為顧客採用了指紋辨識機,他們熟稔科技的顧客都對此設備大表贊同。而cookie則被認為是過時的技術,無法獲得使用者的青睞。

軟體廠商也不斷地推陳出新,並接受金融機構的委外工作。領導廠商包括了最近買下RSA Security的EMC;他們推出了一套異常交易偵測軟體,可以找出不符合顧客過去交易習慣的交易行為。PassMark Software推出的驗證平台則能夠支援1,400萬的網路銀行客戶。許多銀行的IT供應商也與像Certegy Inc.之類的委外廠商合作,他們可為中型銀行提供網路銀行的服務。


DEL RIO事件
回到德州,Happy State Bank正面對著另一項挑戰:內部詐騙測試。2002年時,法規制定者要求銀行必須透過第三人來評估內部的安全措施,因此James調查了業界的各家廠商。他發現有家稽核廠商為銀行每台內部伺服器的基本評估開價9,000美元,而利用便宜的Linux軟體就可找出未關閉的通訊埠數目。

這些都可以令法規制定者滿意,但James要的更多。「這是我的線上事業。」他補充道。IT高層主管決定以每年3,000美元的測試費用,向Core Security Technologies採購「較具侵略性」的偵測產品。該產品可以透過大量的同步攻擊來找出問題,為每個漏洞標記風險等級,並提供改善的建議。「我們試著以更積極的作為來面對安全問題,而非只是反應而已,」James說。「亡羊補牢,為時已晚。」

到目前為止還沒出現過一隻亡羊,Happy State Bank宣稱連一個帳號都沒有被偷過。該銀行深思熟慮,並未在網上銀行使用委外的產品。大多數中型銀行會依賴協力廠商,以求最大的資源應用。但就像是Lone Star的傳統一樣,Happy State Bank習慣什麼事都自己來。

Gartner的分析師Avivah Litan主張,委外通常對中型銀行來說是較好的作法。當發現線上有異常交易時,委外廠商會派出詐欺分析師來排除異常的交易。「小銀行不會有詐欺分析師。」Litan說,他還補充,「當他們遭到攻擊,且沒有委外廠商協助的話,那麼銀行便會面臨到嚴厲的不利情境,因為他們沒有適當的資源能夠處理。」James不同意這種說法。若找了委外廠商,他說,「你是將你的名聲交到他人之手。我需要一年的時間才能夠證明這點,不過若考慮到顧客服務損失以及商譽風險,我相信委外是比較昂貴的。」

事實上,今年初James就慶幸他不需受委外廠商之累。有個充滿疑惑的顧客打電話到銀行來,想知道為什麼他從未註冊網路銀行,也會收到帳號密碼函。「他們是我們的老主顧了,具有科技恐懼症,對這件事憂心忡忡。」網路高手Hall回憶道。

James相信提供多家中型銀行服務的委外廠商一定不會理這個案子。但Hall還是花了好幾個小時仔細地檢查了記錄檔與日期。線上註冊表格中的地址與原先開戶的地址並不一致,這讓Hall感到吃驚。在打了幾通電話之後,Hall追蹤到這地址是Del Rio的一個圖書館。Hall將這些資訊轉給帳戶的主人,他們馬上便發現了關聯性。他們的女兒才搬到Del Rio不久,很明顯地是要做壞事。「我們猜測他女兒是想(透過網路銀行)把錢轉出來。」Hall說。由於這是家務事,因此銀行終止了調查,也沒收取調閱費用。而這對夫婦也成為了Happy State Bank的忠實客戶。


圈住客戶
在建置網路銀行服務之前,IT部門鮮少與客戶直接接觸。但現在有了戲劇化的轉變。該團隊定期在銀行的網站上發佈與安全相關的文章,教育線上客戶,並進行客戶滿意度調查。CEO Hickman也參與該項計畫。現在大家都知道他會直接寫信給客戶,並快速地回答他們的問題,即使是星期天晚上也一樣。

「如果顧客有問題來電,像是他們無法連上網頁,或是一直蹦現視窗等,我會親自過去他們那裡幫他們掃毒。」James說。IT部門每天平均會接到8通來自網銀客戶的來電。

Happy State是一家地區性的銀行,客戶也都住在附近,因此James與其團隊會在必要時到客戶家中。「這聽起來很詭異,似乎也不太可行。」Gartner的Litan這麼認為。

但James與Wells則為這項勞力密集的工作辯護,因為這與該行的客戶信條緊緊相關。「我一開始會擔心每個人都會打進來,但我們這麼做已經有五、六年了,而線上註冊人數也一直在攀升。」James說。「隨著下一代電腦教育的提升,我想將來到府服務的機會將持續減少。例如,我們曾在一個月之內抓到10,000隻病毒,但現在卻只有300個。為什麼會掉這麼多?因為人們已普遍認知到病毒掃描以及間諜軟體移除的重要性了。」

Wells則更是直接。「我知道這麼做很花錢,隨著我們的擴大,可能還需要更多的資源!」他說。「但我們還是會繼續這麼做,因為這是我們該為顧客做的事。」


如何破解詐欺網站
Wells承認最初要他提高在科技上的支出,的確很難接受。在網路銀行之前,該行只有一台萬能的電腦來處理線上轉帳、文字編輯,以及有限的網路功能。James必須自己爭取所有與IT安全有關的預算。這場戰役提醒了他去年在Y2K上的花費。「高層會抱怨,『你給我花了那麼多錢,卻什麼東西也看不到!』」他回憶。「我告訴他,『也許就是因為花了這麼多錢,才會什麼事也沒發生。』」另外非競爭中型銀行所組成的一個協會也對James有所幫助。該組織每年聚會兩次,分享成功的安全實務。透過內部情報交換可以確定Happy State Bank不是站在科技與實務的最前端。但是在企業領袖像Wells看到了IT部門的安全價值之後,情況可能有所改觀。今年夏天,James接到了來自San Antonio一通陌生人的來電,告訴他有個網站長的酷似Happy StateBank的網站。「那個人告訴我他受夠了,希望我們能教訓教訓他們。」James說。Hall去電網路服務商,4小時之內,假網站便關閉了,而下一通電話則打到聯邦機構。即使假網站已經關閉,隨後該行的客服部還是打電話給4,500位網銀客戶,警告他們關於詐欺網站的事情。

當James將假網站秀給Wells與其他高層主管看過後,他得到了實質的獎賞。「我真不敢相信它竟然那麼像,」Wells驚訝道。「我自己差點就登入進去了,真是嚇人。」James花了好大的功夫跟Happy State Bank的董事會解釋網路銀行的安全性,許多董事會成員都是農夫出身。董事會要求James承認將來不會再有任何安全侵害。當然,這根本不切實際。除了要對抗Internet上充斥的盜賊(更不用說內部盜賊了),只要哪天哪家廠商的更新程式出的比較晚的話,James與其團隊還得面臨零時差(zero-day)攻擊。「你對它束手無策!」James說。「我告訴董事會安全攻擊就像狗在家中後院挖洞一樣,你幾乎不可能阻止的了。」IT主管說。「狗還是有可能在一些地方挖洞—但我們必須盡力而為。」

Tom Kaneshige是CIO Decisions的資深編輯。