香港证监会网络保安主题报告：重点检视涉及持牌机构的相关事故和所引致的业务中断

【财华社讯】2月7日，据香港证监会发布，香港证监会注意到近年发生一些重大网络保安事故，涉及针对持牌法团的网络攻击，造成了严重业务中断，亦有客户帐户遭黑客入侵。

香港证监会在《2023/24年持牌法团网络保安主题检视报告》(报告)中指出，在2021至2024年间，持牌法团向证监会汇报了八宗重大网络保安漏洞事故。在某些个案中，不法分子透过网络保安漏洞入侵持牌法团的网络，并在控制客户帐户后进行未经授权交易。在这些事故中，常见的弱点包括采用生命周期结束的软件，以及使用弱算法来加密客户数据。

该等漏洞显示持牌法团的高级管理层的监管力度和网络保安措施不足。

此外，为了应对新兴的网络保安风险，证监会于报告內列明持牌法团在侦测及预防仿冒诈骗(或称网路钓鱼)、管理生命周期结束的软件、遥距接达、管理第三方资讯科技服务供应商，以及云端保安方面的预期操守标准。

证监会中介机构部执行董事叶志衡博士表示：“在高度互联和数码化的世界中，持牌机构务必采取一切必要措施，以抵御愈趋复杂及日渐普遍的网络攻击。它们若未能应对日益严重的威胁及缓解相关风险，不仅会危及自身安全，更会损害客户甚至整个金融体系的安全。有见及此，高级管理层亦必须意识到，保障机构的网络安全至关重要，而不应仅将这些责任留给资讯科技部门来承担。”

证监会将于2月联同香港警务处举办网络保安网络研讨会，以进一步分享是次主题检视的发现及香港常见的网络保安威胁。

证监会亦将于2025年再次全面检视现行的网络保安规定及预期标准，以便制定适用于整个行业的网络保安框架，并为持牌法团更妥善管理网络保安风险提供指引。