Cybersecurity thematic review report 20250206 CHI Final Clean信息安全资料 .docxVIP

2023/24年持牌法團網絡保安主題檢視報告

2025年2月

目錄

A. 摘要 3

B. 香港互聯網經紀業界環境概覽 5

C.發現所得 7

I. 偵測及預防仿冒詐騙 7

II. 對生命周期結束的軟件的管理 11

III. 遙距接達 13

IV. 第三方供應商管理 17

V. 雲端保安 22

VI. 網絡保安規定的合規情況 26

附錄A──第三方供應商評估 30

附錄B──第三方供應商合約條文示例 32

2

A.摘要

1. 由證券及期貨事務監察委員會（證監會）於2017年10月發出的《網絡保安指引》1已於2018年7月全面實施，當中載有20項基本規定。

2. 證監會於2020年完成了一項主題檢視（2019/20主題檢視），以審視在香港從事互聯網交易業務的持牌法團（下稱“互聯網經紀行2”）的系統和相關管理監控措施，及評估互聯網經紀行有否遵守《網絡保安指引》和《操守準則》3（統稱為“網絡保安規定”）。證監會同時將流動保安列為額外網絡保安焦點範疇，並加以檢視。

3. 證監會近期進行了另一項主題檢視，以評估持牌法團在遵守網絡保安規定方面的趨勢。此外，我們亦將仿冒詐騙（或稱網路釣魚）攻擊、採用生命周期結束的軟件4、遙距接達、第三方資訊科技服務供應商（第三方供應商），以及在雲端環境中寄存交易和後勤工作系統所出現的新興網絡保安風險和威脅，涵蓋在檢視範圍之內。

4. 證監會進行了以下工作：

(a) 由規模及業務種類各異的50家選定持牌法團完成的問卷調查。有關持牌法團包括證券及期貨經紀行，槓桿式外匯交易商，提供網上分銷平台的基金經理，以及從事多項受規管活動的環球金融機構（統稱“回應者”）；

(b) 實地視察七家互聯網經紀行，以檢視其系統、程序和監控措施；及

(c) 與六家擁有環球業務的持牌法團進行深度討論，以深入了解它們採取的網絡保安作業方式。

5. 儘管我們留意到，持牌法團在遵守網絡保安規定若干範疇的情況有所改善，但它們仍應注意在是次檢視中所識別出的監控不足之處及沒有遵守有關規定的情況，包括用於登入系統的雙重認證，系統伺服器和防火牆的保安監控配置，實施由軟件供應商發布的保安修補程式及修正程式，對敏感數據進行加密，以及對使用者接達關鍵系統和數據庫的系統管理帳戶所涉及的問題。

6. 另外，一些持牌法團近年向證監會匯報的網絡保安事故及證監會的視察結果，均顯示有多個保安漏洞。這些事故大多涉及採用了生命周期結束的操作系統和未經修補的虛擬私人網絡（virtualprivatenetwork，簡稱VPN5）。此外，其中一些事故亦涉及勒索軟件攻擊，這些攻擊可能是由黑客通過仿冒詐騙發起的。持牌法團應檢視並優化（如適用）其網絡保安措施，為它們的業務及客戶提供合理保障，以免因網絡事故而造成任何損失及中斷情況。

1 《降低及紓減與互聯網交易相關的黑客入侵風險指引》（《網絡保安指引》）。

2互聯網經紀行指從事互聯網交易並就以下活動獲發牌的持牌法團：(i)第1類受規管活動（證券交易）；(ii)第2類受規管活動（期貨合約交易）；(iii)第3類受規管活動（槓桿式外匯交易）；及／或(iv)第9類受規管活動（提供資產管理），惟以那些以其互聯網為基礎的交易設施分銷所管理的基金者為限。

3 有關規定包括《證券及期貨事務監察委員會持牌人或註冊人操守準則》（《操守準則》）第18.4至18.7段，以及附表7第1.1、1.2.2至1.2.8、1.3和2.1段。

4生命周期結束的軟件是指其使用期已告結束。該軟件供應商已停止就其提供支援，並且沒有可用的更新保安修補程式及修正程式。

5VPN在用戶裝置與企業網絡之間建立加密通道。用戶可透過VPN無縫連接至企業應用程式。

3

7. 隨著數碼化及自動化的程度日益增加，持牌法團委聘第三方供應商提供資訊科技服務，以及在雲端環境中寄存交易和後勤工作系統的情況十分普遍。雖然借助該等供應商提供的技術及服務或有其好處，但它們一旦出現網絡保安漏洞，便可能會產生一連串問題，包括系統中斷、數據外洩和持牌法團未能遵守適用監管規定的情況。因此，我們會在本報告中就第三方供應商管理及雲端保安提供一般指引，以協助持牌法團評估和管理相關風險。

8. 我們亦羅列了被檢視的持牌法團為遵守網絡保安規定及應對新興網絡保安風險和威脅而實施的措施示例。持牌法團在設計其系統和監控措施時，可以參考這些示例。這些示例並非鉅細無遺，持牌法團應檢視自身情況，並採取適當和有效的措施。

9. 現有的網絡保安規定主要聚焦於互聯網經紀行，而此類經紀行往往是網絡攻擊者的目標。儘管如此，隨著所有持牌法團日益依賴科技來進行它們的關鍵業務，即使是從事非互聯網交易業務的持牌法團亦同樣容易