委外衍生的不安全性

留下回應

分享

    

印度一家委外代工公司捲入一宗銀行詐欺案，重燃是否可以將涉及機密資訊的作業交給海外公司承包的爭議。

這次案件的涉案人是Mphasis 電話客服中心（call center）一名離職員工，他被控竊取美國客戶的銀行存款，盜領金額高達35萬美元。

案件發生後，一些觀察家對於資料的安全措施感到憂心，尤其擔心資料交到印度外包公司後，外包公司沒有積極查核員工的背景。這一派人士主張，Mphasis的前例可能讓海外外包公司承包的電話客服﹙call center﹚業務量大幅縮水。

Forrester Research公司分析師John McCarthy說：「這不是判斷力出了差池或客戶服務品質低落的問題，本案是有組織有計畫性地竊取客戶錢財。」Forrester認為，本案以及最近幾宗海外外包公司洩漏客戶機密資料的報導，讓海外BPO（作業流程外包）的形象大受影響。

雖然不是大家都這麼認為，但就算只是感覺有危機，都足以傷害外包市場。

BPO形象受損

另外一家市場研究公司Gartner則是低調處理外包的安全風險，但也毫不隱諱問題的嚴重性。報告指出：「印度境外業的生態（包括印度政府在內）必須快速且果決地拿出行動，扭轉印度BPO構成嚴重安全風險的負面印象。」

BPO意指將客戶服務、交易流程等作業外包給其他公司負責，這些外包出去的商業活動可以在美國完成，也可在印度、墨西哥等勞工較為廉價的國家進行。有些企業或組織會在境外成立自己的外包單位，不假手第三人。在美國，聲援勞工的團體不滿企業將業務外包給海外公司，讓BPO成了美國爭議性的話題。

根據美林公司的調查報告，美國資訊科技服務（包括BPO在內）轉包給廉價勞工國家的金額微乎其微，不過假以時日一定會增加，預料兩三年後，將從2004年的0.9%上升至1.6%。

美林報告指出，資訊長之所以裹足不前，不敢加快步伐外包IT活動，安全是主要考量。報告寫道：「阻止公司擁抱境外外包的關鍵依舊是資訊的安全問題。」

本月稍早，新聞報導披露印度警方逮捕三名Mphasis 電話客服中心三名離職員工，因為三人涉嫌竊取美國客戶的個人帳戶資料，成功將35萬美元金額匯入在Pune開立的假帳戶。Mphasis副總裁Jeroen Tas表示，除了離職員工被捕，一名現職員工也被捕。他說，嫌犯可能說服客戶透露帳戶密碼，才會讓他們遂行所願。

印度時報引述匿名消息人士的話，指出被害人是花旗銀行的客戶，對此花旗不願回應，Mphasis則拒絕透露銀行的身分。Mphasis在印度、中國、墨西哥都有電話客服中心，幕後老闆是花旗退休主管。

目前外界對於資訊安全與身分隱私普遍存在不安，印度此案讓問題雪上加霜。

另外一件類似的案件發生於LexisNexis。該公司透露旗下的Seisint資料庫遭人入侵，約31萬名美國人的個人資料可能外洩，是之前預期的十倍。

海外客服中心安全待加強

2003年《舊金山紀事報》報導，任職於加州大學舊金山醫學院的一名巴基斯坦籍女性揚言，若雇主不給她加薪，她將會上網公佈病患的機密資料。

不過對於外包給委外代工的抨擊多半圍繞其他課題，諸如服務品質、溝通有問題等，而非安全疑慮。

但不容否認，海外電話客服中心的資料安全的確有待加強。加州顧問公司InTelegy的執行長Vail Dutto表示，印度企業在查核員工信用與犯罪記錄方面，的確不如美國企業。InTelegy的業務包括協助客戶篩選印度的電話客服公司。Dutto說，印度公司追蹤員工背景的方式不若美國成熟，在美國，某人即使到了他州申請工作，他在某州的不端行為依舊無所遁形。

Dutto說：「員工在班加羅爾的所作所為可能無法如影隨形，跟著員工到孟買。」

Mphasis坦承，查核印度員工的背景遠比在美國困難。Tas說：「雖然困難許多，不過拜印度軟體公司與服務業者協會﹙Nasscom﹚之助，說不定可以改善電話客服中心員工與其他BPO員工背景的查核工作。」Nasscom將針對BPO員工成立一個全國性的註冊簿。

員工耗損率高

另外一個隱憂是員工的耗損率。由於印度人普遍認為BPO工作無前途可言，因此員工耗損率不斷攀高。Forrester公司分析師McCarthy說，居高不下的流動率讓電話客服中心提高效率的努力大打折扣。

McCarthy在四月稍早撰寫的報告中指出：「Forrester認為，電話客服中心員工的耗損率介於50%至100%，不僅影響電話客服公司的作業效率，也足以影響公司對員工背景的查核工作。」

McCarthy也指出，Mphasis員工監守自盜的行為將嚴重打擊境外BPO生意。他說：「BPO電話客服市場的成長率可能下挫30%之多。」

Tas認為Forrester的報告「煽風點火」。他說，Mphasis的BPO員工每年流動率介於30%至40%，和全球電話客服中心相比並不特別。

Mphasis四月13日發表聲明指出，公司「非常重視資料保全與客戶的資料安全，為了防止資料外洩，不僅安裝精密系統，也隨時檢查系統有無漏洞。」

Tas說，Mphasis規定公司內不可以使用手機，擔心員工會用手機拍下機密資料。此外，公司的BPO設施會監聽2%至5%的電話。Mphasis表示，這是符合業界的常規。

Tas強調，電話客服中心員工監守自盜的案件所顯露的安全漏洞，並非海外電話客服中心所專有。他說：「我們認為這種事任何地方都可能發生。」

不過顧問公司VantagePoint Security的安全專家Peter Gregory提出反駁。他說，無法遙控海外員工作為，導致機密資料外洩，尤其令人坐立難安。

監守自盜難避免？

Gregory在聲明中表示：「美國企業將若干作業外包給海外公司，不僅權責更難落實，也讓國家主權岌岌可危。在當今資訊化時代，像印度這類國家只要切斷和網路的連線，美國就成了肉票，這種挑釁行為形同宣戰。」

Gartner四月稍早的報告則沒有這麼悲觀。報告指出，稱境外BOP會讓國家岌岌可危「大抵上是一種不正確的看法」。

不過Gartner和其他同業似乎擔心，對BPO的負面觀已足以讓這行天翻地覆。Mphasis四月稍早公佈的聲明似乎透露，監守自盜的詐欺案可能重創印度的BPO業。

Mphasis的代表說：「我們本身對內部做了一番調查，配合Nasscom與受害銀行，採取了必要的短期與長期措施，保護業主與業主的客戶，捍衛印度BPO這行的安全與清廉。」

有人則從這次的詐欺案看到BPO的春天。Tas說，印度警方的反應顯示，印度法律體系與執法機關動作迅速，效率十足。

Nasscom會長Kiran Karnik發表聲明表示：「印度是全球發展最快速的委外代工之都，雖然發生代工公司員工監守自盜的不幸案件，不過也正好凸顯印度法律網的完整以及執法人員的效率。」

Nasscom召開了一場印美安全論壇，讓會員了解，處理外國公司的機密資訊時，要特別留意安全與隱私。Nasscom近日也推出結合IT公司與警方的安全方案。

但印度的作為可能無法滿足大眾。加州民主黨籍聯邦參議員范士丹女士近日提出法案，一旦美國客戶的個人機密資訊外洩，導致身分可能被竊或被冒用時，業者一定要告知美國客戶。

McCarthy主張，印度的政治人物夠聰明的話，也應該有所行動。他說：「為了提振印度BPO的公信力，印度必須加強資料保護、落實隱私法。」

McCarthy也建議將業簿交由海外公司代勞的企業，應該要積極遙控海外的BPO，甚至規定辦公室不得使用紙筆。他說：「企業應該落實更積極的做法，諸如規定境外代工中心不得有任何書寫文具。」