證監會發表網絡保安主題報告 重點檢視涉及持牌機構的相關事故和所引致的業務中斷

證券及期貨事務監察委員會（證監會）注意到近年發生一些重大網絡保安事故，涉及針對持牌法團的網絡攻擊，造成了嚴重業務中斷，亦有客戶帳戶遭黑客入侵。

證監會在今天發表的《2023/24年持牌法團網絡保安主題檢視報告》（報告）中指出，在2021至2024年間，持牌法團向證監會匯報了八宗重大網絡保安漏洞事故。在某些個案中，不法分子透過網絡保安漏洞入侵持牌法團的網絡，並在控制客戶帳戶後進行未經授權交易。在這些事故中，常見的弱點包括採用生命周期結束的軟件，以及使用弱算法來加密客戶數據（註1）。

該等漏洞顯示持牌法團的高級管理層的監管力度和網絡保安措施不足。

此外，為了應對新興的網絡保安風險，證監會於報告內列明持牌法團在偵測及預防仿冒詐騙（或稱網路釣魚）、管理生命周期結束的軟件、遙距接達、管理第三方資訊科技服務供應商，以及雲端保安方面的預期操守標準。

證監會中介機構部執行董事葉志衡博士表示：“在高度互聯和數碼化的世界中，持牌機構務必採取一切必要措施，以抵禦愈趨複雜及日漸普遍的網絡攻擊。它們若未能應對日益嚴重的威脅及緩解相關風險，不僅會危及自身安全，更會損害客戶甚至整個金融體系的安全。有見及此，高級管理層亦必須意識到，保障機構的網絡安全至關重要，而不應僅將這些責任留給資訊科技部門來承擔。”

證監會將於2月聯同香港警務處舉辦網絡保安網絡研討會，以進一步分享是次主題檢視的發現及香港常見的網絡保安威脅。

證監會亦將於2025年再次全面檢視現行的網絡保安規定及預期標準，以便制定適用於整個行業的網絡保安框架，並為持牌法團更妥善管理網絡保安風險提供指引。

完

備註：

1. 生命周期結束的軟件是指其使用期已告結束，該軟件的供應商已停止就其提供支援，並且沒有可用的更新保安修補程式及修正程式。