2021至24年8宗重大網絡保安事故　證監會將定網絡保安框架

近年常出現重大網絡保安事故，已引起香港證監會注意，並發表報告指，在2021至2024年間，持牌法團向證監會匯報了8宗重大網絡保安漏洞事故。為了應對新興的網絡保安風險，證監會已列明持牌法團在偵測及預防仿冒詐騙或稱網絡釣魚、管理生命周期結束的軟件、遙距接達、管理第三方資訊科技服務供應商，以及雲端保安方面的預期操守標準。

證監會在報告中提到，在某些個案中，不法分子透過網絡保安漏洞入侵持牌法團的網絡，並在控制客戶帳戶後進行未經授權交易。在這些事故中，常見的弱點包括採用生命周期結束的軟件，以及使用弱算法來加密客戶數據。有關漏洞顯示持牌法團的高級管理層的監管力度和網絡保安措施不足。

證監會中介機構部執行董事葉志衡表示，在高度互聯和數碼化的世界中，持牌機構務必採取一切必要措施，以抵禦愈趨複雜及日漸普遍的網絡攻擊。它們若未能應對日益嚴重的威脅及緩解相關風險，不僅會危及自身安全，更會損害客戶甚至整個金融體系的安全。有見及此，高級管理層亦必須意識到，保障機構的網絡安全至關重要，而不應僅將這些責任留給資訊科技部門來承擔。

證監會將於2月聯同執法部門舉辦網絡保安網絡研討會，以進一步分享發現及香港常見的網絡保安威脅。同時預告，將於2025年再次全面檢視現行的網絡保安規定及預期標準，以便制定適用於整個行業的網絡保安框架，並為持牌法團更妥善管理網絡保安風險提供指引。