2006年12月6日,由公安部第一研究所、北京网络行业协会和英国贸易产业部贸易投资局共同主办的2006电子金融网络安全论坛在北京 贵宾楼饭店三层王府厅举行。网易科技频道对论坛做现场直播。
以下为英国贸易投资总署英国金融服务部主管 Jean-Jacques Sahel发言。
主持人(Byron Constable):请大家就坐。
下午好。希望你们午餐过得愉快,我认为甜点非常好吃。
我们今天早上的发言都非常棒,我们在午餐时也和一些人进行了交谈,大家的反应都非常好,认为内容都有创新性,而且提供了很多信息。所以今天是一个很棒的早晨。今天下午也令人兴奋,因为有非常棒的发言人。首先请来自英国的发言人讲一下在线安全的发展,戴硕,来自于江民科技。另外Peter Richards会给大家讲一下关于认证方面的信息。另外还有专家小组,他们会讲一下关于在线安全的问题,所以今天下午是一个令人兴奋的下午。我认为我们的论坛已经达到了它的预期目的。
长话短说,有请Jean-Jacques Sahel,他是来自于英国贸易投资总署的代表,主要管出口金融,同时他也是OECD反垃圾邮件联盟的副主席以及OECD信息经济工作组主席,所以他无论是在个人还是国际上来说,都有很多的经验。
Jean-Jacques Sahel:大家好。我认为这里有一个缺点,就是我们不能说中文。
我想有很多人都愿意让我说中文,我认为有很多好处,我应该把发言稿放到一边,因为我认为我想说的一切大家都已经说过了,但我已经来到了这里,所以我还是要谈一些内容,所以我要好好利用这半个小时,不让你们觉得无聊。
我不会再去重复别人所说的事情,现在我要讲的是给你们提供一下对于这些问题的我们自己的看法,无论是基于在线金融还是基于安全问题。
我的发言是从全球,也是从政府的角度来看的。我们来看看英国政府以及国际社会官员是如何处理这些事情的,因为我是在国际上处理信息社会的问题,有很多令人兴奋的事情,同时也有让我们感到非常恐惧的事情。
现在我就来讲一下在线银行的现实情况,在世界上很多地方都越来越多,尤其在中国,在线世界越来越大,人们正在使用在线银行、在线购物,每天都在使用。它成为一个非常常见的事物,在很多国家都是这样。电子贸易在几十年来不断地得到发展,它既是经济的一个重要因素,也是贸易的重要因素。
有一个统计数字,现在美国有很多人在用在线银行,如果你们看一下细节,就会发现汇丰银行和很多的银行都在使用。汇丰是大银行之一,现在它有四百万的在线客户。据最新的新闻报道,韩国在今年11月底,有一个趋势,在线银行的增长已经超过了传统帐单和传统支票,比传统的银行多33万亿韩币。现在很多人都看好这个产业。我们可以看到这个趋势,这个未来已经在这里了。
如果你们听到了今天早上大使的发言,就会知道英国现在是国际金融上的老大,他讲到了很多数字。在英国,在伦敦,在东京,我们的上市公司比其他国家的上市公司加起来还多。我们的金融业对于英国的经济部门来说也非常重要,它是一个非常成功的例子,不仅对于企业来说,对于市场、零售业来说也是这样。
你们可能也已经听说过了,我们有一个Advertising.com,在十年前我们认为这个公司是刚刚开始,当时这个公司的用户并不是很多,但现在他们已经有了几百万的在线用户,大家都知道他们的名字。我们可以看到,你问一个农村的家庭妇女她都会知道这个公司的名字。
我们来看一下金融市场,这也是一个很好的例子,我们可以看到在线服务是怎样占据着市场。现在有3000多个公司在网上也有证券交易,这些交易非常重要,因为公司和交易者都有兴趣在这方面进行交易,所以现在的信息必须应该在全球实时提供,并不断改善在线服务,提供信息。现在信息服务的速度已经是几年前的六倍了,还在不断进化。在八十年代的伦敦已经经历过这种现象了,但在以后的几年还会更快。
网上服务的带宽越来越高了,就像Work(?)一样,Work是欧洲最大的一个清算系统,在英国。它可以持续地进行借代、借记服务和信用交易,每年都有55亿交易,这就意味着大约3万亿英镑,我不知道转换成人民币是多少钱,但这个数字是非常大的。
我只是想说,所有的这些都是以电子、在线的方式来进行。如果没有这个,那我们的交易就会慢多了,就像几年前一样,现在交易正在越来越多地在网上进行。
我们已经听到了,在中国,有很多在线银行和在线经济的机遇,上一次我听到这个数字是1.3亿网民,我认为现在应该更多了。我记得这个数字是在7月听说,现在肯定增加了很多。
监管在世界各地都现代化了,尤其在中国。因为中国的市场正在开放,所以有更多的机会可以进行跨国界的金融交易。2006年的12月前,中国已经执行了一个新的世贸组织承诺,可以让外国的银行参与到中国的金融市场中,希望这进一步的开放可以给在线的金融服务提供更多的机会。
我们来大致看一下过去几周内的情况。我们来说信用卡的支付问题,现在它越来越多地在中国风行起来了。在上海有30%多的商店在网上进行交易。在中国,我们可以看到它的电子环境也在快速增长,就像美国和欧洲一样,它的速度也很快,发展速度比在欧洲和美国快得多。所以我想说的是,中国已经有了有效的、快速的电子环境,这是我们向前发展的优势。
我们在线银行的原因大家今天早上已经听了很多了,从企业角度来说它有很多的道理,如果你能妥善处理,事情可以变得更快,成本更低,从消费者的角度来说,在网上的交易也会更加简单,并且可以成立新的商业模式、新的产品、新的品牌、新的筹资方式来支持一系列的经济服务。
现在你可以从手机付费,也可以使用最先进的技术为你的手机卡充值,可以通过你的手机交费,也可以从互联网上交钱。这些都是在网上以电子环境来进行的。就像我们听到的。
现在也有一系列的风险成为了阻碍在线银行发展的瓶颈,使得全球的在线服务受到了一定的阻碍。
我们都知道,我们需要有一个正确的在线商业模式。如果我们没有安全保证,事情就会出差错。今天早上你们已经听到了汇丰银行的例子,我认为是很好的例子,他们提醒我们,如果你们想要在网上成功,那么最重要的因素就是要确保你们的消费者信任你们的系统,让他们相信系统是安全的。
事实上,这不仅仅是银行的问题,我们的政府对此也非常谨慎,这是现实。人们往往都害怕出现差错,美国的政府在7月公布,大约有46%的互联网用户都害怕在线购物和在线银行交易,就是因为这个愿意,大约有20亿美元因为人们担心安全的问题而损失掉了,因为人们害怕帐号被盗而造成损失。大约会有900万人完全放弃了在线银行交易,因为他们担心安全的问题,大约有700万的人害怕开始使用在线银行。
从细节上来看,这些风险到底是什么呢?到底是什么使得人们这么害怕?人们没有受到影响,但他们听到各种各样的故事。今天早上你们听到了很多,关于钓鱼网站,关于木马程序,还有盗取帐号等等。最重要的是,这些问题特别会影响新的互联网用户。
当你们看到中国的情况时你们会发现,互联网用户的数字增长非常快,如果他们在20分钟上线之后就染上病毒,你们会想象到他们的反应,他们可能永远不会用互联网了。
我不知道中国的情况,但我知道非洲的情况,最近我和尼日利亚的科技部进行交谈,他们在尼日利亚进行互联网普及,他们也在担心,是否应该进行网上银行,因为只要有了宽带网,就会出现很多的安全隐患,很多可能出现的袭击会使他们的网络完全瘫痪,所以这就是我们必须要解决的问题。
对于消费者来说,我们要讲一下网络的问题,现在有一系列的威胁都会影响到互联网的提供者,尤其是银行。比如在线交易服务袭击,黑客罪犯,以及专门利用互联网进行的犯罪,互联网欺诈。比如他们会发几百万封邮件给网站的服务器,网站就会变得不稳定,然后他们就会采取一系列的要求来接近这个网站,由于他们的要求太多,网站不能及时处理这些要求,当然这些要求是黑客发出的,你们会听到很多相关信息。我认为这些攻击的例子数不胜数,所以我不会讲太多细节。
我只想说一个具体的例子,给大家更多的数据来展示这个例子。
这个数据首先是非常详细的,当我看到这个问题时是在九十年代,当时有一些关于黑客的信息。我们都知道以前的黑客都是一些年轻人,可能他们只是在美国的某一个小镇,就可以攻击美国五角大楼的电脑系统,只是为了玩或是一时高兴。但现在我们可以看到传统的犯罪分子意识到,做这样的工作会花很多钱,这样,这些犯罪组织就会花更大的代价来挣不义之财。我们会看到四个恶性邮件中有三个都是为了盈利的,每335个邮件中就会有1个是钓鱼邮件。
我们可以看到,英国公司2004年就有差不多17000美元来处理安全事故,我们认为这是很大的金额了,而现在这个金额还在不断增长,应该说对很多公司来说都是一个巨大的开销。
现在我们来看一个最为危险的事故。很多测试当中都认为它是一个多媒体的软件,很多电脑都会被袭击。我们叫它“僵尸软件”,病毒会感染你的电脑,把你的信息交给黑客,让他们控制你的电脑。我相信大家都已经认识到这个致命的问题,而且我也意识到,实际上我们的很多活动都有类似的问题。
现在有些大型公司用到了21万美元的金额来专门处理这方面的问题。如果有10%的公司因为受到感染而受到影响。像中国、加拿大,我听说现在印度也在担心这方面的问题,世界上越来越多的国家都在关注这些问题了。
“僵尸”已经侵袭了150万台电脑了,事实上一个黑客就能够控制着150万电脑里的具体信息,同时袭击这些电脑。这里的一个研究就展示了他们是如何记录这些信息的:
(幻灯片示)首先,这是一个荷兰的SP供应商,他们就已经意识到在他们的网站上出现了攻击者。我们可以看到这是美国的一个软件公司有一个在欧洲的下属公司的链结,我们可以看到,通过E-mail的方式它会给你寄来很多软件供里下载,这样就会有很多的木马病毒趁虚而入,感染你的电脑。当这个欧洲公司控制了150万台电脑,他们就把这些电脑信息全部卖给黑客和垃圾邮件制造者。这样他们也可以通过安装偷来的密码获取个人的信息。
美国的一些公司针对这个提出了一个解决方案,试图关闭这家欧洲的公司。而我们已经意识到了这样的问题,当一个公司可以控制150万台电脑时,他们就能识别这150万个使用者,比如每一个使用者有几百万人民币会是怎样的情况?如果使用者的这笔钱被偷去,他就会非常不高兴。如果在香港有多少港元被偷盗,也会是一个悲惨的结果。所以现在我们需要进行跨境的合作,当局和公司部门的合作,特别是在银行间进行跨境沟通,同时还包括在不同的国家之间、执法机构之间进行很好的合作。
为了减少风险,实际上我们需要保护自己的电脑。不幸的是,很多人还不了解反病毒软件,就算你免费给他们提供,人们还是会想,我是不是会被病毒袭击?你免费提供给我是不是意味着你之后会让我购买别的升级软件呢?由此我们可以看到,我们应该有更好的防范意识。比如我们应该去避免访问一些可疑的网站、打开可疑的邮件或不信任来源的软件。
从我的角度来说,我希望使用互联网,我也希望能有很多邮件的附件可以打开,但在你访问时你必须非常谨慎,还包括对一些大型公司或IT使用者来说,他们也有非常强大的系统保护体系,比如你有很好的对员工的安全培训,培训他们的意识。当然还包括要对他们进行教训,必须要有这些项目,这样他们才能很好地使用你们的系统。
对于IT设备的制造商来说,很多人认为反病毒的软件都应该打包到电脑中,这样当你每售出一台电脑就可以进行自动升级和反病毒软件的安装。
今天早上我们也听到一些大型金融机构的代表,他们都有很好的计划,比如你必须要有很好的保护系统和机制。应该说在Peter今天早上演讲时,告诉我们必须要有很好的监测系统、反敲诈系统,包括我们要对高风险交易进行很好的确认。当然今天早上也谈到了非常重要的一点,没有任何一种解决方案可以单独奏效,我们必须要进行合作,这样才能使它有效。
从政府的层面来说,我觉得我们需要进行对这种意识的学习和教育,使我们的使用者都了解这些问题。当我们的警察碰到一个问题时,他知道应该如何处理,如何读取E-mail,知道如何工作,如何获取结果,当然还包括我们要有合适的立法框架、立法结构来取缔犯罪行为。
我最后想说的是,我们必须要平衡私密性和安全性,同时我们还要有很好的机制,当然各个行业间都要进行紧密的合作。重要的是,我们必须要进行国际的合作,需要越来越多的合作在当权者之间进行。当然也需要在机构之间进行,包括英国的银行应该和我们的同行进行交流,看看网络中有没有更好的解决方案,当然也包括中国的银行。因为实际上我们也在对相关的银行机构进行培训。我们希望能够减少互联网欺诈。
在今后,我们希望至少能够制止这种欺诈上升的趋势,也许我们能在2007年建立网上的手机银行系统,当然我们也希望发达国家能够在明年实现这样的交易,包括网络基础设施也能快速安全地获得金融数据。当然,我们还有BT服务,实际上它是一个非常好的电信服务商,这样能够促进我们的经济更加健全高速的发展。
当我们提到TSB,实际上它已经和我们达成了协议,有很多英国公司会通过网络来提供全面的帐单,如果你们能连接到互联网就可以进行支付。而这马上就要到来了,几个月之后我们就可以完成相关服务。同时我们还要建成很好的环境,电脑、手机,对于客户来说都有利于我们的业务发展。
作为政府,作为提供商来说,我们更应该很好地处理面临的风险,这样才能够使我们的经济在今后几年很好地发展。
谢谢大家的聆听,希望我的发言比较短。
