汇丰Peter-Brooks：网上安全的模式

    2006年12月6日，电子金融网络安全论坛在北京举行，新浪财经独家直播。下为汇丰银行互联网及个人银行总裁Peter-Brooks的发言。

　　大家早上好，非常高兴大家邀请我参加本次论坛，我非常高兴跟大家谈论一个案例，主要是我们在香港的工作情况，还包括网上银行的在过去两三年面临的一些经验和挑战问题，以及包括我们在管理我们顾客方面有些什么样的做法。当然我们主要是给大家提些我们的经验。

　　我们快速地过一遍，但是今天我们和谈论一下汇丰银行在亚洲有很长的工作经验，很多人谈论网上银行是什么呢？应该说它促进了其他相关活动的延展，实际上这也是我们汇丰银行的重点业务之一，实际上我们刚才来自英国大使馆的专家也谈到到，我们有很多网上出现的犯罪等等，我们会跟大家讲一下，我们是如何看待这些事情的，以及我们做了一些什么样的工作，谈一下我们这个网上安全的模式。当然我们会从一个技术的角度看一下，以及对安全带来什么样的影响，然后我们会谈论一下我们作为一个组织在香港，我们现在具体的一个工作，现在我们有什么样的解决方案。以及这个解决方案带来的后果是什么，我们是如何管理我们顾客的，我认为这是非常重要的一点。

　　非常简单地跟大家讲述一下，汇丰银行是在1865年在香港和上海建立起来的，我们的总部是在伦敦，应该说我们在全球都有非常大的业务范围，应该说我们涉及了银行业的业务还包括金融方面的服务等等，所以我们现在也面临着很多业务方面的挑战，应该说这是一个对市场有很高层的俯视，我们设计了全球各个地区的业务，我们的组织应该说站了香港银行业业务的60%以上，我们的顾客应该说经常会使用我们的服务，而且这个趋势还在不断地上升，现在我们应该说大部分业务都是通过网说来进行的。

　　我们来看一下我们来自于哪里，实际上我们是2000年的时候进入的，实际上我们还有一些原因，看到我们进入这个新的领域，所以如果每天有所变化实际上你的顾客会觉得很混淆，不知道你们要提供什么样的系统服务，所以我认为我们银行提供的服务必须是连贯的，必须是一致的，我们必须在比如说要关注我们的顾客，必须要使他们理解，我们是用什么样的服务作为一个前提，在2005年我们提供了一种服务，实际上也是从我们银行业来说也是非常关注安全的重要方面。

　　谈一下我们顾客人群的分布，很多顾客都在使用我们的服务，实际上我们可以看到，这种增长是非常快的，我们的顾客，他们希望使用，喜欢使用我们的服务，这是非常关键的地方，另外一点，他们使用我们的服务他们非常高兴，他们更有可能希望获得我们更多的服务，这样的话，他们会不断地成为我们的重点客户，而这些顾客的增长也确实驱动了我们服务的增加。

　　这一张主要给大家看了我们大部分的业务分配，主要有三点：第一点就是右边的这个，我们的顾客，我们可以看到他们跨行的销售的比例，我们可以看到，非网上银行的顾客量与网上银行这个顾客的量是形成了鲜明的对比，左边实际上就是两个比例的这样一个区别，那就是到底使用网上银行和不使用网上银行的这样一个差别，当然也主要是涉及了与我们的关系，所以我们必须非常仔细地管理与他们的关系。

　　另外一点，我认为这也是涉及到我们业务的，那就是安全的问题必须处理好，比如说三年之前，两年以前，我们通过网上来销售我们所有的产品，当然是通过分销的渠道做的，20%是通过分销的渠道来做的，现在我们可以看到，销售额和交易额的比例，还包括比如说

信用卡的顾客，还包括其他方面的产品等等，应该说我们现在的货币分配得更加平均一些，还有一点就是首先要了解我们的顾客他们需要这种服务，了解哪些是我们银行不需要这个发展的重点，哪些是我们非要关注的重点。

　　看一下分销的方面，在左边我们可以看到，我们顾客的转移，当然不是单一渠道了，他们可以从交易的角度来看，我们可以看到，互联网交易就是网上交易占的比例是很大的，当然他们也可以转移到其他的方面、其他的角度，我们可以看到很多顾客后来逐渐转化成了网上交易的顾客群，右边这个图表给大家显示的主要是从量上给大家进行了一个销售量的分配，比如说通过不同的渠道销售量的区别，从这里我们可以看到，一个重要的挑战就是，如果你缺失了顾客对你的信心的话，所以他们不再成为你的顾客，必须让他们理解我们所负的责任是什么。

　　我相信这是所有网上服务，应该都能够让我们顾客满意，很多在座的各位，可能也是有同样的想法，那就是如果在各个地方上增加你的业务，必须要提供安全性、可靠性，你必须在不同的地方进行业务的提供的时候，必须要关注它的安全性。

　　这几张幻灯片，主要是给大家展示我们看到这个问题是不断增加不断发生的，而且越来越快，比如说钓鱼网站的袭击等等，我们都要看看我们顾客期望值是什么，以及他们希望我们做些什么，另外一点，就是我们刚才说的钓鱼网站，实际上就是一个所谓的品牌的问题，因为他们实际上是对某一个特殊的品牌进行攻击，实际上我们也被袭击过，特别是我们HSBC我们有很多不同的地方的分布，实际上我们业面临这个巨大的挑战，因为我们这是网上的交易，所以你必须考虑到，你是否成为被攻击的目标，当然这也是在全球都会出现的一个情况，不仅只是在欧洲、中东、亚洲，在各地方都会出现这种情况，所以你现在非常关注，必须你如何处理这种问题的能力了，你的能力的高低就直接影响到你的服务和最后的情况。

　　现在我们看一下，网上的这种攻击的分配的情况，因为很多人他们会进行网上的交易，很多人被袭击的话，比如说他的信用卡的金额就会取消等等，这也是为什么我们可以看到网上的交易变化是变化很快的，而且我们也发现，我们有很多顾客最后没有来使用我们的服务，最后消失了，可能这都是受到网上袭击的原因影响。

　　所以我们必须关注每个个人，每个单项的交易额。实际上组织也是我们非常关注网上安全的原因，我们防护方面，其中一方面就是教育，教育我们一直在强调，包括网上安全的意识等等，我们的顾客必须要意识到他们会出现的一些情况，当然你还有很多方法来做这点。

　　我们的机构，我们就会有这种欲望或者说有这种想法跟我们的顾客分享一些方法来使他们不会遭受到袭击。还包括我们会提供一些咨询、一些方法来使我们的顾客意识到问题，使他们在精神上和心理上一直意识到这个问题的严重性，当然不会让他们有所恐惧和害怕，当他们了解之后就不会害怕这个问题。

　　在本世纪初的时候，我们所做的工作大部分就是围绕着增强我们的能力，比如说我们的顾客在网上他喜欢什么样的业务，比如说哪一项业务是他们经常做的，然后我们找到他们所扮演的角色，不同的业务种类把他们区分开来，然后他考虑到一个机制中来，这样的话我们就能够帮助我们的顾客更好地享受我们的服务。当然还考虑到一些地缘上的影响，不同的地区，高风险的地区我们可能会在那个地方找到一些不同的交易方式，比如说会导致你每日的交易额发生一些变化，实际说在我们银行，可以看到我们还是基于不同的地区网上交易的情况做出判断，包括实时地进行监控等等，我们还会看到这个系统会不会出新问题等等。

　　我们还会找到一些方法来确保我们的顾客依然长期地使用我们的服务，另外一点就是我们的业务方面，必须有一些规则，实际上这就是我们汇丰银行采取的一些解决方案，比如说我们要采取一些合适的技术，当然这也必须是我们顾客能享用的，而且对我们顾客来说，他们能够很快地完成这样一个流程，能够很快地获得服务。

　　所以这个过程对顾客来说比较简单，而且要有一定的弹性，你必须有一定的流量，必须知道一定交易时间，在交易的时候我们可以看到在市场上有很多的交易额，所以我们一定要能够解决很大的流量，要需要有相关的技术，我们必须知道我们有多少的客户，我们要有一个专门的模块，我们非常努力地去知道我们的客户有什么样需求，通常我们客户认为有些东西太难记他们就会写下来，我们不让他们这样做，我们必须让我们的过程对客户比较地友好。

　　另外今天早上我们讲的是风险的管理，我们另外一个讲风险的缺失问题，我们要保证我们在交易的时候应该来保证它的安全性和保证它的易用性，另外一个就是环境的问题，我们说过要长期地发展，但事实上只能是几年，因为技术发展非常快，我们保证我们的基础设施要普通，因为我们是全球的组织，所以我们靠一种技术，我们必须在全球寻找机会，在每个国家我们要不断地提高我们的技术，这一点是非常重要的。

　　另外一个就是我们的路线图，我现在要讲的，这就是不断持续的过程，当我们在2000年的时候每个人都非常兴奋，因为我们有个新的加密的系统，大家认为这个可以解决我们所有的问题，我们早期遇到的一些问题，2001、2002年的时候发现的一个问题，我们找到了所有的功能，我们可以根据我们在香港的身份证这个技术来跟它结合起来，我们还应对了它的随意性的特点，来提高客户的经验，我们还可以让我们的客户能够发送他们的一次性密码，这样他们可以及时地来进行交易，我们还有一个模式，我们可以进行控制，来确定一个方式，将我们的风险减少，虽然不能减少到零，但是我们可以控制风险，我们还可以进行监测，那是在2005年的时候开始的，如果你们看一下幻灯片就可以看到，这个过程是不断地进行的，是不会消失的，希望你们每个人都要想一下，你们过去可能有同样的模式，你们所做的事情和你们将来做的事情可能也跟我们比较相似。

　　还要讲一下品牌的问题，2004年的时候，我们看到不断出现的钓鱼网站的攻击，来自于东欧，因为我们是最大的银行，我们有最大的客户群，我们有最大的银行资料，所以我们的客户就成为了一个袭击的目标，造成了很大的关注，其中一个关注就是我们客户，如果担心的话，我们就损失钱了，所以为了银行和客户要解决这个问题。

　　另外一个香港的兼管者也非常关注这个问题，因为这危机到了香港的金融系统，就会危机到对香港金融系统的信心，在那个案子中比较有趣的是，我们其他的银行都没有受到袭击，只有我们的银行受到袭击了，所以我们要解释一下关于品牌的问题，品牌容易遭到袭击，你要想怎么解决问题，因为你是唯一的问题，别人不出现这个问题，所以我们有很多挑战进行应对，最终监管者创造了一个政策，去年中期的时候发布出来了，交易的时候，必须有两个因素的认证，它不会给你很多的自由，让你去进行选择，有的时候有的人认为它是非常好的，另一方面它也给我们的组织提出了一些挑战，我也会简短地讲一下我们注意的问题。

　　我们现在注意的，一种基于活动的，交易完成的时候我们可以看到相关的信息，来看一下他们是否是在付帐还是在做什么事情，它的挑战就是它的成本是非常高的，在香港有700万人，我们有400万的居民，所以我们要花很多的钱，我们这个手段就给我们造成了很大的成本，另外一个就是，我们的客户需要在进行交易之前，进入他们的认证码，虽然保证了安全性，但对客户的体验是一种折扣。

　　我们还使用代币的问题，现在有很多组织有很多人都会在他们办公室使用这种代币，所以很多人不愿意在办公环境中使用一个外国的设备，所以也就约束了我们客户的日常行为，他们因为在白天的时候是经常来进行贸易的，所以他们需要在网上进行交易，我们在办公环境中使用一种外国的设置很可能会影响他们的交易，我们看到，我们有“两维”的一个模式，你输入你的这些编码，这是一个非常简单的解决方式，但不是最终的解决方式，需要很多的成本，那么另外一个，我们的监管者对这个解决放并不是非常满意，我们还有很多的技术满足这个解决方式。

　　我们使用的这种设备是因为它是便鞋的，一会儿我会讲一下客户的反映。它是非常便鞋、非常简单，只要按一下就可以出现数字，所以我们的客户不用做任何事情，它也非常小，可以放在口袋里，成本是有效的，价格也是非常合理的。它可以来帮助你解决日常生活中的问题。

　　我非常简短地说一下剩下的问题，它是基于时间、基于我们英国的时间，基本上来说，对一个使用外国的设置来说还是比较简单的， 基本上这些数字就可以进行匹配，这个设备就可以在一定的时间提供一定的数字，可以把它输进去，它的数字也不是特别长，它是非常简单的，基本来说就是产生一个数字然后把这些数字输进去，是非常简单的。

　　你把这些数字输入这个系统，基本上来说它就是一种很好的通道，就可以解决在网上银行的问题，基本上来说，我们第一次研究的时候问了两个事情，一个是安全，第二个就是这些每个设备上有一个专门的序号，这些序号都是输入的时候是匹配的，有的时候还会问第三个“激活密码”，在香港我们有专门的码，它是非常简单的，所有的东西都是这些客户必须知道的东西。

　　当你登陆的时候就可以看到这个界面，可以产生一个数字，这个数字如果是正确的，你就可以正确地进行登陆了，我们也会让你们来解决其他的挑战。它的价格对于客户来说也比较合理，我回非常快的来讲下面的幻灯片。

　　2004年2月的时候我们建立起来WEP，技术非常简单，是一揽子的解决方案，在去年年底的时候，我们在网上发布了设置，现在大约在亚洲有几百万的设备被发送出来了，另外你还可以跟客户进行互动，我们有很多的客户，他们有的人眼睛是受损的，所以看不到这个数字，我们数用的设备有非常大的数字的显示，同时还有声音，所以我们可以帮助这些眼睛不太好的人可以利用这个设备保证互联网上交易的安全性。

　　它是一个学习型的过程，我还会很快地讲这个问题，因为这是只限于香港内的问题，我认为任何一个在线安全的问题跟客户有关的，你必须为客户考虑，怎么解决客户的问题，怎么把解决方式送到客户这里，怎么保证成本效益是合理的，我们必须考虑到，因为在香港用这个设备的人很多，我们必须要考虑的就是，我们这些小盒子的尺寸，因为你需要让它的这些设备比较适合客户来使用，我们另外一个考虑点，对我们来说是一个成本有效的解决方案。

　　我们客户给我们提出的一个挑战就是，你不知道是谁来进行这个程序，有多少客户在使用这个，我们发现有很多客户他们有香港的地址但是他们并不住在香港，你就必须找到他们到底住在哪里，当你找到的时候你就可以把设备送给他们，比如南美、加勒比海，有些地方，有些进口的监管，因为有人认为这些技术是不安全的，所以还要处理海关的问题，所以还有很多的决策的问题，这都是学习型的问题，我们必须对客户直接交涉，必须让客户知道我们在做什么保证，他们认为它是一个可选的方案，是必须采用的方案，你要告诉客户你要使用我们的在线服务必须使用这种设备。

　　另外一个问题是创新，我们怎么让我们的客户使用这个技术，一个窗口帮助他们使用激活的信息，你如何帮助这些人，因为有些人他们能够非常容易地使用这个，有的时候我们不断地跟他们进行沟通，完成这个完美的流程。你必须要不断地对你现在的流程进行管理，比如说你是用代币还是说用其他的方式等等，你可能都希望能够来找到对你的国家哪个方法是比较好的，比较合适的，你如何能够用这个方法使你的顾客有很大的满意度。

　　实际上我们有很多顾客都面临着满意度的问题，现在我想给大家展示的就是，作为你的机构你现在可能在不断地发展，可能都会有一些顾客的流失或者发生一些问题，所以你必须要与这些顾客进行每日的交流，那就说你要帮助他们了解你的服务，从而使我们这个流程能够是一个积极的发展过程，比如说向你的顾客提供一些系统的信息等等。

　　我在这里稍微谈一下，因为我的时间不多了，刚才说到教育的问题，你可能必须要了解技术，技术应该说是快速发展的，顾客可能看不到这种技术的具体应用，而且我们可以看到这个世界发生翻天覆地的变化，所以每天很多的技术不断地出现，必须告诉顾客怎么使用这个技术，当然我们的银行也在帮助我们的顾客进行交流、教育，包括帮助他们怎么使用这个技术。

　　当然你必须要告诉他们，这个流程，使他们具体地理解这个过程，当然你们机构的员工也会同样地程度理解，才能够向你的顾客传达这种东西，所以这也是同样重要，也你的员工提供相应的教育，当然我们这个流程也有，给你的员工一些能力，比如他也能进行自我学习，了解这个技术等等，这是内部的主要交流，当然这也是我们网站的情况，比如ATM部还有其他的部门，都是告诉他们一些重点突出的地方，当然在沟通的方面，我们需要让他们理解出现了什么问题，当然这不是容易的过程和方法，但是必须要这么做。

　　当然我们也会创造安全方面的教育问题，现在所做的就是我们顾客他们希望获得安全的服务，网上安全，所以他们也会理解你的作用、了解你的功能，谈论你如何使用这个认证，你必须要教育他们，让他们知道这样一个流程。

　　对我们来说，我们认为，这个认证应该说是一个关键，当然我们也面临着一些风险，我们也正在遭受着这些风险给我们带来的负面影响，当然这是一个不断出现的挑战，应该说一直都出现，就是网上安全的问题，所以我们必须要跟人们进行沟通、进行交流，了解这个问题，所以对顾客和对员工的教育永远没有终止，我们必须不断地对他们进行，越早的教育越好，这样才能应对复杂的局面。

　　比如说在路上遇到一个妇女，每天她都会发现每天提供的服务都有变化，这样的话你必须跟她交流，知道我们的目的是什么，我们现在的科技和业务变化越来越快，我们面临的挑战也越来越难进行管理，对我们的顾客也是一样，很难地向他们进行沟通，当然从我的角度来说是这样的。

　　我们可以看到，速度和欺诈性的行为也经常会袭击我们的机构，而且这个速度并没有下降而是在不断上升，不管你是在哪个地区哪个国家，都要处理这个问题。非常感谢大家的聆听。