證監會就建議降低互聯網交易的黑客入侵風險進行諮詢

2017年5月8日



證券及期貨事務監察委員會(證監會)今天就降低及紓減與互聯網交易相關的黑客入侵風險,展開為期兩個月的諮詢(註1)。

有關建議包括引入一套全新指引(註2),當中載有適用於互聯網經紀行(註3)的基本網絡保安規定,以處理黑客入侵風險及漏洞,並釐清網絡保安監控措施所須達到的標準。這些規定部分已在《操守準則》或證監會過往發出的通函(註4)中提及,現時只是作更詳細說明及整合至建議的指引內。

建議的主要規定包括在客戶登入系統時實施雙重認證(註5),及當客戶的互聯網交易帳戶出現某些活動後立即通知有關客戶。

此外,證監會建議將與網絡保安有關的監管原則及規定的適用範圍擴大,由現時適用於在交易所進行的證券及期貨電子交易(註6),擴展至涵蓋就並非在交易所上市或買賣的證券進行的互聯網交易,當中包括認可單位信託及互惠基金,因為這些產品均涉及相同的黑客入侵風險。證監會亦建議更新“互聯網交易”的定義,闡明以互聯網為基礎的交易設施可透過電腦、流動電話或其他電子裝置來接達。

證監會行政總裁歐達禮先生(Mr Ashley Alder)表示:“黑客入侵互聯網交易帳戶,是本港互聯網經紀行所面對最嚴重的網絡保安風險。經紀行必須採取嚴格的預防性及偵測性監控措施,從而加強對黑客入侵及其他網絡保安風險的抵禦能力。”

證監會在是次諮詢前,曾就本港經紀行對黑客入侵風險的抵禦能力進行主題檢視。在制訂有關建議時,證監會已考慮到本地及海外市場的作業方式和監管規定、各類監控措施的成效和適切程度、實施成本及對使用者體驗的潛在影響。

相關人士可於2017年7月7日或之前,透過證監會網站(www.sfc.hk)或以電郵(2017_cybersecurityconsultation@sfc.hk)、郵寄或傳真(2293 4087)方式,提交書面意見。

備註:

  1. 在截至2017年3月31日止18個月期間,有12家持牌機構舉報了27宗網絡保安事故,當中大多涉及黑客入侵客戶在證券經紀行開設的以互聯網為基礎的交易帳戶,造成了總額超過1.1億元的未經授權交易。其他事故包括分散式阻斷服務攻擊(即多個受操控的電腦系統一同攻擊持牌機構的網站,導致其用戶被截斷服務)及敲詐威脅。
  2. 建議的指引載列20項基本網絡保安規定。這些規定將以根據《證券及期貨條例》發出《降低及紓減與互聯網交易相關的黑客入侵風險指引》的方式實施。
  3. 即從事證券、期貨合約或槓桿式外匯合約的互聯網交易的經紀行。
  4. 《證券及期貨事務監察委員會持牌人或註冊人操守準則》。有關的證監會通函包括:(i) 日期為2017年1月26日的《網絡保安威脅警報》;(ii) 日期為2016年3月23日的《網絡保安》;(iii) 日期為2016年1月29日的《有關保障網上交易帳戶安全的提示》;(iv) 日期為2015年6月11日的《互聯網交易-互聯網交易自我評估查檢表》;(v) 日期為2014年11月27日的《緩解網絡保安風險》;(vi) 日期為2014年11月26日的《互聯網交易-資訊保安管理及系統的充足性》;及(vii) 日期為2014年1月27日的《互聯網交易-減低互聯網遭黑客入侵的風險》
  5. 雙重認證指使用下列最少兩項因素進行認證:(i) 客戶所知的(例如密碼);(ii) 客戶所有的(例如硬件編碼器)及(iii) 客戶是誰(即指紋或其他生物特徵)。公司可自由選用任何其認為適當的雙重認證解決方案。
  6. 現時,與網絡保安有關的主要監管原則及規定均收錄在《操守準則》第18段及附表7內。這些規定適用於就在交易所上市或買賣的證券及期貨合約進行的電子交易。該等監管原則及規定目前適用於證券交易商、期貨交易商、槓桿式外匯交易商及基金經理。


最後更新日期 : 2017年5月8日