证监会就建议降低互联网交易的黑客入侵风险进行谘询

证券及期货事务监察委员会（证监会）今天就降低及纾减与互联网交易相关的黑客入侵风险，展开为期两个月的 谘询 （注1）。

有关建议包括引入一套全新指引（注2），当中载有适用于互联网经纪行（注3）的基本网络保安规定，以处理黑客入侵风险及漏洞，并厘清网络保安监控措施所须达到的标准。这些规定部分已在《操守准则》或证监会过往发出的通函（注4）中提及，现时只是作更详细说明及整合至建议的指引内。

建议的主要规定包括在客户登入系统时实施双重认证（注5），及当客户的互联网交易帐户出现某些活动后立即通知有关客户。

此外，证监会建议将与网络保安有关的监管原则及规定的适用范围扩大，由现时适用于在交易所进行的证券及期货电子交易（注6），扩展至涵盖就并非在交易所上市或买卖的证券进行的互联网交易，当中包括认可单位信讬及互惠基金，因为这些产品均涉及相同的黑客入侵风险。证监会亦建议更新“互联网交易”的定义，阐明以互联网为基础的交易设施可透过电脑、流动电话或其他电子装置来接达。

证监会行政总裁欧达礼先生（Mr Ashley Alder）表示：“黑客入侵互联网交易帐户，是本港互联网经纪行所面对最严重的网络保安风险。经纪行必须采取严格的预防性及侦测性监控措施，从而加强对黑客入侵及其他网络保安风险的抵御能力。”

证监会在是次谘询前，曾就本港经纪行对黑客入侵风险的抵御能力进行主题检视。在制订有关建议时，证监会已考虑到本地及海外市场的作业方式和监管规定、各类监控措施的成效和适切程度、实施成本及对使用者体验的潜在影响。

相关人士可于2017年7月7日或之前，透过证监会网站（ www.sfc.hk ）或以电邮（ [email protected] ）、邮寄或传真（2293 4087）方式，提交书面意见。

完

备注：

1. 在截至2017年3月31日止18个月期间，有12家持牌机构举报了27宗网络保安事故，当中大多涉及黑客入侵客户在证券经纪行开设的以互联网为基础的交易帐户，造成了总额超过1.1亿元的未经授权交易。其他事故包括分散式阻断服务攻击（即多个受操控的电脑系统一同攻击持牌机构的网站，导致其用户被截断服务）及敲诈威胁。
2. 建议的指引载列20项基本网络保安规定。这些规定将以根据《证券及期货条例》发出《降低及纾减与互联网交易相关的黑客入侵风险指引》的方式实施。
3. 即从事证券、期货合约或杠杆式外汇合约的互联网交易的经纪行。
4. 《证券及期货事务监察委员会持牌人或注册人操守准则》。有关的证监会通函包括：(i) 日期为2017年1月26日的 《网络保安威胁警报》 ；(ii) 日期为2016年3月23日的 《网络保安》 ；(iii) 日期为2016年1月29日的 《有关保障网上交易帐户安全的提示》 ；(iv) 日期为2015年6月11日的 《互联网交易－互联网交易自我评估查检表》 ；(v) 日期为2014年11月27日的 《缓解网络保安风险》 ；(vi) 日期为2014年11月26日的 《互联网交易－资讯保安管理及系统的充足性》 ；及(vii) 日期为2014年1月27日的 《互联网交易－减低互联网遭黑客入侵的风险》 。
5. 双重认证指使用下列最少两项因素进行认证：(i) 客户所知的（例如密码）；(ii) 客户所有的（例如硬件编码器）及(iii) 客户是谁（即指纹或其他生物特征）。公司可自由选用任何其认为适当的双重认证解决方案。
6. 现时，与网络保安有关的主要监管原则及规定均收录在《操守准则》第18段及附表7内。这些规定适用于就在交易所上市或买卖的证券及期货合约进行的电子交易。该等监管原则及规定目前适用于证券交易商、期货交易商、杠杆式外汇交易商及基金经理。