致持牌法團的通函 - 持牌法團的網絡保安檢視

2025年2月06日



證券及期貨事務監察委員會(證監會)於今天發表《2023/24年持牌法團網絡保安主題檢視報告》(報告),以重點闡述其網絡保安檢視的主要觀察所得。

該報告乃根據證監會近期就選定的互聯網經紀行1對《網絡保安指引》2及《操守準則》3(統稱為“網絡保安規定”)有關規定的遵守情況進行的主題檢視,以及過去數年由持牌法團匯報的網絡保安事故而編撰。此報告載有對偵測及預防仿冒詐騙(或稱網路釣魚),對生命周期結束的軟件4的管理,遙距接達,第三方資訊科技服務供應商(第三方供應商)管理,以及雲端保安的預期標準。

網絡保安事故

在2021至2024年間,持牌法團匯報了八宗重大網絡保安事故,其中部分事故造成了嚴重業務中斷,亦有客戶帳戶被黑客入侵。具體而言,我們留意到:

  • 在兩宗個案中,持牌法團遭受勒索軟件攻擊(可能由黑客透過仿冒詐騙所引起),影響全部資訊科技系統,包括互聯網交易系統、交收及後勤工作系統,令業務營運嚴重中斷;
  • 在另一個案中,一家持牌法團匯報了一宗事故,指當其供應商的網絡癱瘓時,其後勤服務亦被中斷,而它亦沒有充足的應變計劃;
  • 其中一些個案涉及騙徒透過持牌法團存在的保安漏洞,獲取了其交易系統的接達權限,並在未經授權的情況下更改了客戶數據。騙徒隨後控制了受害客戶的帳戶並進行了未經授權的交易。

此外,在某些個案中,相關的持牌法團在其系統和伺服器中採用了生命周期結束的軟件,這可能是這些網絡攻擊事故發生的原因。

本會特此提醒,持牌法團應對潛在的網絡保安威脅保持警惕,識別並修正其網絡和系統中的漏洞,以及主動採取行動以保護自己和客戶免受網絡攻擊。

網絡保安規定的合規情況

我們在是次檢視注意到,部分網絡保安規定和預期標準的合規情況(包括流動保安)與2020年的同一檢視5相比有所改善。然而,我們注意到在遵守若干主要範疇的規定時仍有不足之處,這可能使互聯網經紀行面臨重大網絡保安風險。例如,使用不合規格的雙重認證登入系統,鬆懈的系統伺服器和防火牆的保安監控配置6,延誤執行由軟件供應商發布的保安修補程式及修正程式,對敏感數據使用弱加密算法並對傳輸中的數據及靜態數據加密不足,以及對關鍵系統和數據庫的系統管理帳戶給予了使用者過多權限。

此外,在持牌法團匯報的某些網絡保安事故中,我們注意到關鍵系統和伺服器缺乏審計線索。這妨礙了持牌法團進行定期監察,以及在發生網絡保安事故時進行調查的能力。

本會特此提醒,持牌法團應實施足夠的網絡保安監控措施來保護其系統、客戶帳戶和數據。除其他事項外,持牌法團應特別注意以下範疇:

(a)       網絡保安:持牌法團應實施適當的監控措施,藉以防止及偵測未經授權的入侵、違反保安事件及對安全性的攻擊7。除其他事項外,持牌法團應停用其伺服器中所有不必要的服務端口,檢視和修訂(如適用)其網絡接達監控列表,並確保僅在有需要時授予對其網絡的接達。

            本會強烈建議持牌法團,特別是大型互聯網經紀行,定期(至少每年一次)進行全面的網絡保安技術檢視,包括(除其他事項外)漏洞掃描、系統伺服器和工作站的保安加固控制審查,以及網絡和應用程式的穿透測試。檢視結果、整改方案和所採取的補救措施應由負責整體管理監督和資訊科技的核心職能主管進行檢視和認可。

(b)       修補管理:持牌法團應監察軟件供應商發布的保安修補程式或修正程式,並視乎評估結果,在切實可行的情況下盡快進行測試,以及在測試完成後的一個月內執行該等程式8

(c)       數據加密:持牌法團應以強效的加密算法來加密敏感資料,包括客戶資料(如電話號碼和電郵地址)及使用者登入資料。為免生疑問,無論是傳輸中的數據(包括在持牌法團內部網絡中傳輸的數據)還是靜態數據都應該被加密9

(d)       使用者接達權限:持牌法團應確保僅在有需要時授予系統接達權限10。特別是,使用者僅應獲授其履行日常職務所需的最小職能。此外,持牌法團僅應向有限數量的使用者授予關鍵系統和數據庫的系統管理帳戶,並應對這些帳戶的使用情況進行記錄和監察。

(e)       審計紀錄:持牌法團應保存並檢視所有關鍵伺服器11、網絡裝置和數據庫的活動紀錄,以識別任何可疑的未經授權活動並作出跟進12

(f)        監察客戶帳戶:持牌法團應實施有效的監察及監督機制,以偵測未經授權而接達客戶的互聯網交易帳戶的情況13。除了監察接達客戶帳戶的互聯網協定(internet protocol,簡稱IP)地址外14,持牌法團亦應定期檢視系統和數據庫中客戶資料的變更,並及時識別與未經授權變更客戶資料15相關的預警跡象,以便在有需要時作出跟進。舉例而言,這些跡象包括多名客戶將其流動電話號碼更改為相同的號碼,大量客戶透過使用相同或相似的IP地址或在短時間內提出變更請求,以及由員工直接在系統中作出手動變更。

新興網絡保安威脅和風險

如上所述,涉及某些網絡保安事故的持牌法團採用了生命周期結束的操作系統16和未經修補的虛擬私人網絡(virtual private network,簡稱VPN)17。此外,其中一些事故亦涉及勒索軟件攻擊,這些攻擊可能是由黑客通過仿冒詐騙發起的。

隨著營運更趨數碼化及自動化,持牌法團委聘第三方供應商提供資訊科技服務以支援其業務的情況更為常見。他們的服務包括應用程式開發和維護服務、資訊科技營運支援服務、基礎設施和網絡服務,以及系統和數據寄存服務。雖然借助該等供應商的技術及服務或有其好處,但它們一旦出現網絡保安漏洞事故,便可能導致系統中斷、數據外洩等其他問題。因此,持牌法團的高級管理層應實施有關政策和程序以管理和監督這些服務供應商,並確保持牌法團遵守相關的網絡保安規定。

此外,一些持牌法團採用了雲端服務來寄存其交易系統及/或後勤工作系統。適用於雲端寄存系統和數據的網絡保安管理,可能與傳統部署於本地的資訊科技環境中的網絡保安管理截然不同。有見及此,持牌法團必須了解其所採用的雲端服務模型並實施相應的保安措施,這一點至關重要。

鑑於上述的新興趨勢和風險,我們在本通函的附錄中列出了本會對(i)偵測及預防仿冒詐騙,(ii)對生命周期結束的軟件的管理,(iii)遙距接達,(iv)第三方供應商管理及(v)雲端保安方面的預期標準。

另外,我們注意到短訊一次性密碼是系統登入和裝置綁定中最常見的認證元素之一。然而,使用此方法存在一些保安方面的疑慮,例如,騙徒可透過安裝於受害人流動電話的惡意程式,截取到這些一次性密碼。為了紓減這些風險,一些持牌法團已採用了更安全的認證方法,例如生物特徵認證(包括容貌識別技術)和軟件權杖。本會特此提醒持牌法團要時刻掌握最新的科技發展,並檢視使用短訊一次性密碼所帶來的風險;亦鼓勵持牌法團停止使用短訊一次性密碼進行認證或在適當情況下實施監控措施以作彌補。

高級管理層的責任

本會特此提醒持牌法團,其高級管理層,特別是其資訊科技核心職能主管,負有對識別、監察和紓減持牌法團所面臨的網絡保安風險的最終責任。他們應該:

(a)  確保委任合資格的職員和第三方供應商,並部署足夠的技術及財政資源18,以有效地管理網絡保安風險;

(b)  定期檢視及批准網絡保安風險管理政策及程序19,以確保它們足以應對最新的網絡保安風險和威脅;

(c)   確保定期對其網絡和系統進行網絡保安檢視(如適用)。他們亦應審視這些網絡保安檢視中所識別出的事項,認可並監督補救行動直至完成為止,以確保所識別的問題和漏洞得到妥善跟進20;及

(d)  建立和維護足夠的應變計劃,以應對網絡保安情境和相應的應變策略21。這些計劃應定期檢視和測試,並根據持牌法團的運作和網絡保安風險變化進行修訂。

本通函中的規定即時生效。持牌法團應嚴格檢視其網絡安全框架、程序和監控措施,以及其系統和網絡,以確保符合預期操守標準。然而,本會了解到部分持牌法團可能需要一段時間來更新其系統以符合這些規定,故本會將以務實的方式評估持牌法團的合規情況。

未來計劃

現有的網絡保安規定主要聚焦於互聯網經紀行,而此類經紀行往往是網絡攻擊者的目標。儘管如此,隨著所有持牌法團日益依賴科技來進行它們的關鍵業務,即使是從事非互聯網交易業務的持牌法團亦同樣容易受到網絡攻擊。就此,我們計劃於2025年全面檢視現行的網絡保安規定及預期標準,並會制訂適用於整個行業的網絡保安框架,向所有持牌法團提供指引,以更妥善地管理網絡保安風險。

如你對本通函的內容有任何疑問,請聯絡你的個案主任,或致電2231 1455與郭嘉慧女士聯絡。

 

證券及期貨事務監察委員會
中介機構部
中介機構監察科

連附件

SFO/IS/004/2025


1     互聯網經紀行指從事互聯網交易並就以下活動獲發牌的持牌法團:(i)第1類受規管活動(證券交易);(ii)第2類受規管活動(期貨合約交易);(iii)第3類受規管活動(槓桿式外匯交易);及/或(iv)第9類受規管活動(提供資產管理),惟以那些以其互聯網為基礎的交易設施分銷所管理的基金者為限。
2       《降低及紓減與互聯網交易相關的黑客入侵風險指引》(《網絡保安指引》)。
3     有關規定包括《證券及期貨事務監察委員會持牌人或註冊人操守準則》(《操守準則》)第18.4至18.7段,以及附表7第1.1、1.2.2至1.2.8、1.3和2.1段。
4     生命周期結束的軟件是指其使用期已告結束,該軟件的供應商已停止就其提供支援,並且沒有可用的更新保安修補程式及修正程式。
5     有關詳情,請參閱《致持牌法團的通函——互聯網交易網絡保安檢視》(《2020年網絡保安檢視通函》)。
6     例如,開了系統伺服器不必要的服務端口,如文件傳輸協定(File Transfer Protocol)和安全外殼(Secure Shell)協定,並且在防火牆的訪問控制列表中允許了不必要的訪問。
7       《操守準則》附表7第1.2.4(c) 段。
8     《網絡保安指引》第2.4段及《2020年網絡保安檢視通函》第G(i)及G(ii) 段。
9     《網絡保安指引》第1.4段。
10   《網絡保安指引》第2.2段、《適用於證券及期貨事務監察委員會持牌人或註冊人的管理、監督及內部監控指引》(《內部監控指引》)附錄第20段,及《提高商號遵守〈證券及期貨(客戶證券)規則〉及〈證券及期貨(客戶款項)規則〉的能力的建議監控措施及程序》第11及12段。
11    如果持牌法團使用電郵來支持重要的業務運作,例如發送付款指示,則電郵伺服器被視為關鍵伺服器。因此,持牌法團應確保電郵伺服器中的所有活動均獲妥善記錄、保存和檢視。
12    《內部監控指引》第IV(6) 段。
13     《網絡保安指引》第1.2段。
14   2017年10月27日發布的有關網絡保安的《常見問題》第三條問題的回答。
15   《網絡保安指引》第1.2段及2016年2月5日發出的《致獲發牌從事證券交易的持牌法團的通函——保障客戶資產免受內部失當行為影響》附錄2第1(m) 段。
16     這些系統包括Windows Server 2008 和 Windows Server 2012。
17    VPN在用戶裝置與企業網絡之間建立加密通道。用戶可透過VPN無縫連接至企業應用程式。
18     《操守準則》第4.1和4.3段。
19     《網絡保安指引》第3.1(a) 和3.1(f) 段。
20     《網絡保安指引》第3.1(e) 段。
21     《網絡保安指引》第3.1(g) 段。

按這裡下載文件


附錄文件:

附錄

最後更新日期 : 2025年2月06日