金管會籲強化證券商資安防護機制 確保證券交易安全
鑒於網路已經是金融業服務客戶的重要管道,金管會日前於會議中指示「沒有資安就沒有業務」。也就是監管單位、金融業者、客戶及提供金融業者服務的資訊業者整個生態鏈都要注意資安,建立整體資安的文化。
由於近年來國人已習慣廣泛使用網路購物,參加各種網路社群,在網路上大量暴露自己的各種個資。駭客利用人工智慧及大數據等新興科技可以到網路上廣泛蒐集個資,進而取得大量帳號及密碼,就可以利這些帳號密碼對證券商進行撞庫攻擊及偽冒下單等行為。臺灣證券交易所除要求證券商強化資安防禦能力,亦提醒投資人採用優質密碼,並妥善保管及定期更改,是避免帳戶被駭客攻擊,維護自身權益最好的方法。
臺灣證券交易所已要求證券商使用自行開發或資訊業者提供的網路下單系統,於客戶登入帳戶及電子憑證下載時,應落實執行相關控管措施,包括:
一、客戶網路下單登入時,應採雙因子(例如:下單憑證、裝置綁定、OTP、生物辨識等)認證防護機制。
二、強化客戶申請或更新憑證機制,應增加與登入雙因子之不同因子(例如:OTP、SIM憑證)驗證機制,避免非本人取得憑證。
三、客戶應使用優質密碼設定進行控管,並確實執行密碼輸入錯誤次數達一定次數時,應予中斷連線之控管機制。
四、應注意客戶帳戶異常登入情形,即時了解登入異常原因,避免遭他人非法使用。
五、檢視各項防護措施,防護力不足應即修改系統,若無法即刻修改應暫停該項服務或改採其他確認係客戶本人之驗證機制。
證券商除應落實相關控管措施外,電子下單比重較高之大型證券商並應建置入侵偵測與警示系統(IPS)、網頁應用程式防火牆(WAF)及資安事件威脅偵測管理平台(SIEM)等網路資安防禦設備,以強化整體資安防禦,避免駭客入侵風險。
證交所持續對證券商進行落實相關防護機制的監控。證券商除升級自身之資通安全系統,也協助客戶透過生物辨識及更換密碼等方式強化資安防護。