網路銀行虛虛實實，怎麼管才安全？

兩年前， 有個持槍歹徒跑到Happy State銀行位於德州Amarillo這個充滿沙塵的牛仔鎮的分行，準備大搶一筆。「這不是開玩笑，」他對行員說。他把錢塞進背包中，便馬上逃跑了。但是銀行的員工記下了歹徒駕駛的車輛（藍色的四門轎車），警察在幾週後逮到了嫌犯。在這個四周是草原的小鎮中，並沒有什麼地方可供躲藏。今年夏初， 有個年輕人架設了一個詐騙網站，企圖盜取Happy State Bank的帳號。IT員工根據一位住在德州San Antonio親切的陌生人所提供的線索，在歹徒取得該行4,500名線上顧客的帳號前，發現了這個詭計。他們在四小時內關閉了假網站。聯邦探員追蹤到了嫌犯來自Bronx的某個地方。不管盜賊是走路進來還是透過網路進來，有件事情是不會變的：不要惹毛德州人。「打從Jesse James（西部拓荒時代傳奇性的江洋大盜）與黨羽開始打劫銀行，安全問題早已存在許久了，」Happy State Bank的技術資深副總，Jason James說。「安全在這一行已經不是新鮮事了。」為了取得主要競爭者所沒有的競爭差異，Happy State採用了銀行界罕見的作法，即深度接觸的線上客服。網路銀行的出現，使得James與其他四位成員必須為該銀行最重要的企業雄心打頭陣。這個IT部門以自建的方式處理銀行的安全事務，甚至每周得出差一兩次，到客戶家中清除他們電腦裡的病毒、垃圾郵件，以及間諜軟體。「深度的客戶接觸才是我們與眾不同的關鍵！」該行總裁Gary Wells說。「在德州Panhandle地區，關係才是關鍵。這裡的人喜歡坐下來面對面說話，喝咖啡，打高爾夫球，或是打獵。」

開拓安全邊疆
聳立在Amarillo的郊區。挑高的屋頂與牆壁全都以舊西部的牛仔藝術來裝飾。可以看到的還有一個圓形的金庫大門，連六節炸藥都無法將其炸穿。不管用什麼方法，Happy State Bank與其他中型銀行都在努力開拓自己的疆界。今日的銀行不再依靠鋼製保險庫與雙管霰彈槍，而是利用各種科技工具（從防火牆、漏洞分析，到詐騙偵測以及客戶驗證等）以求在Internet這個化外之地自保。

無疑這就像是淘汰遊戲一樣。顧客若認為銀行無法好好保管他的錢，他寧可放棄這家銀行。同時，如果銀行無法符合Internet的安全需求，法規制定者也樂於將其關閉。到今年年終，聯邦金融機構檢查委員會（FEIEC，用來定義美國金融業標準的組織，與其他著名的單位一樣，背後有聯邦準備系統撐腰）將要求銀行在進行線上客戶驗證時，不得只採用單一驗證方式。研究機構Gartner預測2007年時將會有第一家不合規定的銀行收到禁制令（cease-anddesist order）。

但對於中型銀行的CIO來說，這不失為是一項轉機。網路銀行與相關法規的興起，讓IT高層主管在其公司具有更為顯著的角色。Happy State Bank便是如此，James與其四名組員在今年初才獲得勳章獎勵。33歲的James還升職為資深副總，讓他成為擁有超高職位的最年輕主管。「他們做的太好了，」該行總裁這麼說他的IT團隊。「我知道有他們在管控，晚上就睡得更香了。」


家鄉優勢
Happy State Bank不單單僅有舊西部的門面。該銀行早在近一世紀前的1908年便開始營運。J. PatHickman率領一群投資人買下了只有一間分行的銀行，然後在1990年時更名為First State Bank。董事長兼CEO Hickman透過一連串的併購，使得銀行能夠在新墨西哥、奧克拉荷馬，以及德州Panhandle所構成的三角區域成長茁壯。

一些新興的競爭銀行也使用了First State的名字，使得該銀行在幾年前更名為Happy State Bank。（該行的名稱源自於附近一個叫做Happy的小鎮，這個城鎮因為1999年的同名電影Happy, Texas而聲名大噪。）到現在，Happy State自稱擁有18,000名顧客，十多家分行，資產4.7億美元， 年營收4千萬美元。跟他最大的競爭對手Amarillo National Bank比起來，仍舊是小巫見大巫。Amarillo掌握了超過半數的市佔率，而Happy State Bank只有區區的3%。以整個Panhandle地區來說，Happy State Bank宣稱可以拿下了8%左右的市佔率。

儘管交易手續費很高，員工在資產上所佔的資金比率也很大，但是良好的客戶服務讓Happy State仍有其立足之地。他的服務能迎合鄉村的民眾，例如留著落腮鬍，穿著藍色牛仔褲、裝了馬剌的皮靴、頭巾的顧客，活像個走出歷史的牛仔，走到櫃員面前要求提款。「沒錯，這是真的牛仔！」James說。「我們的顧客就是這種型。」1999年，這些過時的高層主管為了取得主要競爭者所沒有的競爭差異，Happy State採用了銀行界罕見的作法，即深度接觸的線上客服。

1999年，這些過時的高層主管吝嗇地投注了資源在網路銀行服務上。「我們必須這麼做。」Wells 說。他還說他兩個正值讀大學年紀的小孩，也比較喜歡線上銀行，而不是傳統的紙本支票以及印刷的存摺。即使Wells已邁向網路時代。「我老婆和我在今年第一次決定開始在網路上付帳單。」他說。

隨著網路銀行服務的建置，Happy State總算是駛進了科技紀元。該銀行將IT部門由原來的一個人擴編為五個人，其中還包括了Duane Hall，他是個網路仲裁者以及安全神槍手，James也獲得晉升，他在這土生土長，1993年就開始進入銀行業。在過去幾年，該銀行每年大概花了500,000美元在科技設備上。

在第一年，有500位顧客註冊了Happy State網路銀行的服務，現在數字更增加到4,500位。IT部門要不斷地防治來自網路的盜賊，他們很會鑽系統漏洞， 不管是透過網址嫁接（Pharming）、詐欺網站與哄騙手法，還是惡意軟體以及網域名稱伺服器污染等。「隨著我們日漸龐大，安全已成為IT部門的主要機能。」Hall說。


高度科技，深度接觸
總裁Gary Wells說線上銀行的客戶仍需要深度接觸的客戶服務。為了因應，該銀行已佈署了各項安全措施，以維護線上客戶的安全。顧客的帳號密碼會透過郵件寄送，而銀行還採用了Netscape的SSL來保護客戶瀏覽器與銀行防火牆內伺服器的通訊。Cookie則採用了多一層的驗證與授權機制。但cookie只是驗證客戶的方法之一。其他的方法還包括了昂貴的生物特徵辨識設備到金鑰基礎建設等。銀行通常會採用最適合其客戶的驗證方法。矽谷的一家中型金融機構Technology Credit Union，在兩年前便為顧客採用了指紋辨識機，他們熟稔科技的顧客都對此設備大表贊同。而cookie則被認為是過時的技術，無法獲得使用者的青睞。

軟體廠商也不斷地推陳出新，並接受金融機構的委外工作。領導廠商包括了最近買下RSA Security的EMC；他們推出了一套異常交易偵測軟體，可以找出不符合顧客過去交易習慣的交易行為。PassMark Software推出的驗證平台則能夠支援1,400萬的網路銀行客戶。許多銀行的IT供應商也與像Certegy Inc.之類的委外廠商合作，他們可為中型銀行提供網路銀行的服務。


DEL RIO事件
回到德州，Happy State Bank正面對著另一項挑戰：內部詐騙測試。2002年時，法規制定者要求銀行必須透過第三人來評估內部的安全措施，因此James調查了業界的各家廠商。他發現有家稽核廠商為銀行每台內部伺服器的基本評估開價9,000美元，而利用便宜的Linux軟體就可找出未關閉的通訊埠數目。

這些都可以令法規制定者滿意，但James要的更多。「這是我的線上事業。」他補充道。IT高層主管決定以每年3,000美元的測試費用，向Core Security Technologies採購「較具侵略性」的偵測產品。該產品可以透過大量的同步攻擊來找出問題，為每個漏洞標記風險等級，並提供改善的建議。「我們試著以更積極的作為來面對安全問題，而非只是反應而已，」James說。「亡羊補牢，為時已晚。」

到目前為止還沒出現過一隻亡羊，Happy State Bank宣稱連一個帳號都沒有被偷過。該銀行深思熟慮，並未在網上銀行使用委外的產品。大多數中型銀行會依賴協力廠商，以求最大的資源應用。但就像是Lone Star的傳統一樣，Happy State Bank習慣什麼事都自己來。

Gartner的分析師Avivah Litan主張，委外通常對中型銀行來說是較好的作法。當發現線上有異常交易時，委外廠商會派出詐欺分析師來排除異常的交易。「小銀行不會有詐欺分析師。」Litan說，他還補充，「當他們遭到攻擊，且沒有委外廠商協助的話，那麼銀行便會面臨到嚴厲的不利情境，因為他們沒有適當的資源能夠處理。」James不同意這種說法。若找了委外廠商，他說，「你是將你的名聲交到他人之手。我需要一年的時間才能夠證明這點，不過若考慮到顧客服務損失以及商譽風險，我相信委外是比較昂貴的。」

事實上，今年初James就慶幸他不需受委外廠商之累。有個充滿疑惑的顧客打電話到銀行來，想知道為什麼他從未註冊網路銀行，也會收到帳號密碼函。「他們是我們的老主顧了，具有科技恐懼症，對這件事憂心忡忡。」網路高手Hall回憶道。

James相信提供多家中型銀行服務的委外廠商一定不會理這個案子。但Hall還是花了好幾個小時仔細地檢查了記錄檔與日期。線上註冊表格中的地址與原先開戶的地址並不一致，這讓Hall感到吃驚。在打了幾通電話之後，Hall追蹤到這地址是Del Rio的一個圖書館。Hall將這些資訊轉給帳戶的主人，他們馬上便發現了關聯性。他們的女兒才搬到Del Rio不久，很明顯地是要做壞事。「我們猜測他女兒是想（透過網路銀行）把錢轉出來。」Hall說。由於這是家務事，因此銀行終止了調查，也沒收取調閱費用。而這對夫婦也成為了Happy State Bank的忠實客戶。


圈住客戶
在建置網路銀行服務之前，IT部門鮮少與客戶直接接觸。但現在有了戲劇化的轉變。該團隊定期在銀行的網站上發佈與安全相關的文章，教育線上客戶，並進行客戶滿意度調查。CEO Hickman也參與該項計畫。現在大家都知道他會直接寫信給客戶，並快速地回答他們的問題，即使是星期天晚上也一樣。

「如果顧客有問題來電，像是他們無法連上網頁，或是一直蹦現視窗等，我會親自過去他們那裡幫他們掃毒。」James說。IT部門每天平均會接到8通來自網銀客戶的來電。

Happy State是一家地區性的銀行，客戶也都住在附近，因此James與其團隊會在必要時到客戶家中。「這聽起來很詭異，似乎也不太可行。」Gartner的Litan這麼認為。

但James與Wells則為這項勞力密集的工作辯護，因為這與該行的客戶信條緊緊相關。「我一開始會擔心每個人都會打進來，但我們這麼做已經有五、六年了，而線上註冊人數也一直在攀升。」James說。「隨著下一代電腦教育的提升，我想將來到府服務的機會將持續減少。例如，我們曾在一個月之內抓到10,000隻病毒，但現在卻只有300個。為什麼會掉這麼多？因為人們已普遍認知到病毒掃描以及間諜軟體移除的重要性了。」

Wells則更是直接。「我知道這麼做很花錢，隨著我們的擴大，可能還需要更多的資源！」他說。「但我們還是會繼續這麼做，因為這是我們該為顧客做的事。」


如何破解詐欺網站
Wells承認最初要他提高在科技上的支出，的確很難接受。在網路銀行之前，該行只有一台萬能的電腦來處理線上轉帳、文字編輯，以及有限的網路功能。James必須自己爭取所有與IT安全有關的預算。這場戰役提醒了他去年在Y2K上的花費。「高層會抱怨，『你給我花了那麼多錢，卻什麼東西也看不到！』」他回憶。「我告訴他，『也許就是因為花了這麼多錢，才會什麼事也沒發生。』」另外非競爭中型銀行所組成的一個協會也對James有所幫助。該組織每年聚會兩次，分享成功的安全實務。透過內部情報交換可以確定Happy State Bank不是站在科技與實務的最前端。但是在企業領袖像Wells看到了IT部門的安全價值之後，情況可能有所改觀。今年夏天，James接到了來自San Antonio一通陌生人的來電，告訴他有個網站長的酷似Happy StateBank的網站。「那個人告訴我他受夠了，希望我們能教訓教訓他們。」James說。Hall去電網路服務商，4小時之內，假網站便關閉了，而下一通電話則打到聯邦機構。即使假網站已經關閉，隨後該行的客服部還是打電話給4,500位網銀客戶，警告他們關於詐欺網站的事情。

當James將假網站秀給Wells與其他高層主管看過後，他得到了實質的獎賞。「我真不敢相信它竟然那麼像，」Wells驚訝道。「我自己差點就登入進去了，真是嚇人。」James花了好大的功夫跟Happy State Bank的董事會解釋網路銀行的安全性，許多董事會成員都是農夫出身。董事會要求James承認將來不會再有任何安全侵害。當然，這根本不切實際。除了要對抗Internet上充斥的盜賊（更不用說內部盜賊了），只要哪天哪家廠商的更新程式出的比較晚的話，James與其團隊還得面臨零時差（zero-day）攻擊。「你對它束手無策！」James說。「我告訴董事會安全攻擊就像狗在家中後院挖洞一樣，你幾乎不可能阻止的了。」IT主管說。「狗還是有可能在一些地方挖洞—但我們必須盡力而為。」

Tom Kaneshige是CIO Decisions的資深編輯。