推動證期業轉型 金管會多管齊下
因應創新金融科技蓬勃發展,金管會持續透過鬆綁法規、政策鼓勵等方式,全力推動證期業轉型,同時強化因應資安威脅的能力。
採訪/林振輝、施鑫澤‧文/林裕洋‧刊期/2022.4
回顧 2017 年,台灣爆發第一起證券業者集體遭到駭客組織運用 DDoS 攻擊,藉此勒索高額贖金的事件,根據當時統計資料顯示,79 家券商中有 13 家券商遭到攻擊。自此開始,台灣證券業者幾乎每年都會遭到規模不一的 DDoS 攻擊,所以自 2017 年起金管會即開始要求提供網路交易服務的證券商,除必須引進流量清洗服務之外,也必須建置相關的防禦機制與應變機制。
因應日益嚴峻的資安威脅,多年來金管會持續制定各種管理規範,考量到業者規模大小不一,亦分為四等級進行差異化管理,且有不同之資安應遵循(應辦)事項,如第 2 級以上之證券商應設置資安長、第 3 級以上之證券商核心資訊系統應導入國際資安管理標準等。此外,因應資訊與金融科技之快速發展,資安威脅與日俱增,金管會致力營造安全之證券期貨服務發展環境,使業者可因應新科技與業務競爭快速發展服務,民眾也可以安心使用各項新興商品及服務。
[ 推薦閱讀:富國銀行啟動多雲轉型十年計畫 ]
金管會證期局副局長郭佳君說,金管會要求證券、期貨業者從兩大面向著手,分別是落實資安防護機制、營運持續不中斷管理措施。
- 在落實資安防護機制方面,重點包括要求證券期貨商因應 2021年底駭客撞庫攻擊事件,應確實加強與落實執行相關資安防護措施。所謂撞庫攻擊係由於投資人可能在不同網站(社交平台、電子商務平台、網路購物、金融科技等平台)使用相同帳號密碼的習慣,而這些平台對於資料的安全要求不高,很容易讓駭客取得帳號密碼資料。當不明人士取得這些外流的帳號密碼後嘗試「撞庫攻擊」(撞庫為駭客利用外流的帳號和密碼,再搭配自動化程式,冒用客戶帳戶登入),可能導致證券期貨商及投資人權益受損。而為強化網路下單安全的資安防護,證交所及期交所要求業者落實網路下單登入部分,至少要採用雙因子認證防護機制、客戶申請或更新憑證應增加與登入雙因子之不同因子驗證機制,目前多數券證券商已規劃於 2022 年 3 月前完成系統修正。
- 至於營運持續不中斷管理措施部分,隨著證券期貨商網路下單比重提升,為降低證券期貨商網路下單系統(含行動APP)異常情事,金管會已請證交所及期交所督促業者汰換老舊網路設備、檢視業者對其系統可容忍中斷時間之評估是否合理,及將「系統可用性」之評估納入內部控制等措施,以提升業者網路下單穩定性。
修正內控準則 提升資安防護能量
隨著金融科技蓬勃發展,台灣證券暨期貨亦積極發展創新服務,以提供消費者更多元化服務,因此也增加營運上的資安風險。金管會為提升業者對資安議題之決策能力、對資訊安全之重視,早在 2018 年 5 月 30 日修正證券期貨服務事業內控準則,針對不同規模、業務及組織特性事業,要求設置資訊安全專責單位及主管,乃至於相關人力編制要求。
不光如此,為型塑各服務事業重視資安之組織文化,提升對資安議題之決策能力,2021 年 9 月 30 日金管會進一步修正證券期貨服務事業內控準則,要求一定規模的證券商、期貨商、投信投顧業者等,應指派副總經理以上或職責相當之人兼任資訊安全長,綜理資訊安全政策推動及資源調度事務。符合條件之業者,應於 2022 年 3 月底前完成設置資安長等工作。至於一般上市(櫃)公司部分,考量上市(櫃)公司發生資安事件對資本市場之影響不一,不同產業涉及民眾個人資料程度亦屬有別,故金管會將上市(櫃)公司劃分三級,循序漸進方式推動公司指派資安長、資訊安全單位、主管及人員。
[ 2022年度CIO大調查報告下載 ]
郭佳君表示,金管會在規劃完整推動措施之外,也會透過相關罰則督促業者遵循。如證期服務事業未依規設置資安長或資安單位,金管會除得依證券交易法、期貨交易法或證券投資信託及顧問法要求其限期改善,並視情節輕重處以適當罰鍰外,亦得採取將相關缺失納入申請業務准駁之考量,或撤銷廢止其營業許可等必要之處置。此外,金管會得命令證期服務事業委託會計師專案審查業者之內部控制制度,並取具審查報告報金管會備查,以確保業者資安控制環境之有效。
對一般部分,未依規設置資安長或資安單位,金管會除得依證券交易法第 178 條規定要求其限期改善,並視情節輕重處以適當罰鍰外,並得命令上市(櫃)公司委託會計師專案審查公司之內部控制制度,並取具審查報告報金管會備查,以確保公司資安控制環境之有效。
發布資本市場藍圖 接軌金融科技發展
近年因應數位金融科技發展,金管會已調整相關法規、並積極採行開放多項措施,協助證期服務事業者因應金融科技發展,調整營運模式與提供更多加值服務。如放寬業者得以線上多元化方式提供投資人開戶及各項業務申辦、交易契約之簽署、變更基本資料、對帳單及權益事項通知等服務,目前已多可透過線上電子化方式辦理。根據統計,投資人透過電子下單比重已達 7 成以上,且證券商採線上開戶比率已達 6 成,顯示投資人已多使用線上方式與業者互動,這代表台灣投資人的數位程度比例高,以及證期服務事業者推動數位轉型速度並未較銀行業緩慢。
此外,為推動資本市場發展及因應數位科技趨勢,除前述已採行之數位服務內容外,2020 年 9 月 24 日金管會發布「資本市場藍圖」架構,持續推動服務業者辦理數位轉型,以期達友善安全之金融科技目標。金管會採取的具體推動措施非常多元,首先是協助發展虛擬據點,證交所將研議訂定證券商數位服務分支機構相關管理辦法,開放證券商設立虛擬據點,整合所有現行前台交易與後台帳務之數位服務流程。除此之外,證交所亦將研議規劃開放現行須臨櫃業務於虛擬據點得線上辦理,並可試辦新型數位服務,或協助證券商持續深化實體營業據點之數位化程度,以利證券商設置業務完全數位化之虛擬據點。
「另為提供投資人更便利非當面開戶方式及因應數位轉型,金管會在資本市場藍圖中,已規劃研議開放安全、有效及更便捷之數位化身分驗證方式,例如金融 FIDO、Mobile ID 等多元身分驗證方式,以優化及便利投資人線上開戶作業,進而將相關資安風險降到最低。」郭佳君解釋:「因應公開資料的風潮,金管會也積極推動公開資料查詢之開放證券,目前已參照現行開放銀行的三階段進程,推動證券業的開放證券措施。其中,開放證券第一階段並納入金管會資本市場藍圖具體措施,目前已由集保邀集周邊單位及各公會研商,預計於 2022 年底完成開放證券第一階段 ─ 公開資料查詢。」
為落實普惠金融的理念,提供小額投資人更完整之自動化理財服務,2021 年 11 月 18 日金管會放寬自動化投資顧問服務執行再平衡交易之規範,業者只需事先與客戶於契約中約定執行門檻,且符合再平衡交易之約定條件情況時,可由電腦系統自動為客戶執行再平衡交易。
強化資安防護力 保護金融體系安全
考量金融科技之發展已跳脫傳統機構別之框架,甚至多與相關領域結合,業務範圍亦拓展至金融服務之外,故常遇有跨機構、跨部會議題,故金管會於「推動金融科技發展路徑圖」中,規劃透過創新中心作為跨部會合作平台,強化著重於金融科技發展之溝通協調或協力合作案。在此基礎下,就金融服務提供者所遇問題,金管會創新中心將主動邀集相關機關或部會交流,研商解決方式,以利促進資訊分享,協助業者解決共通性議題。簡單來說,即是透過資料共享、法規或自律規範調適,能力建構、數位基礎建設、金融科技創新園區生態系、國際連結等方式,共同推動數位科技及金融科技之監理,以提升投資者及金融消費者權益。
在金管會規劃的「金融科技發展路徑圖」及「資本市場藍圖」等藍圖架構中,除明白揭露提升金融中介機構市場功能及競爭力之策略,也希望業者可結合金融科技實力,在推動數位轉型與監理科技之時,同步改善市場資安防護能力,藉此達到確保交易之網路安全。至於相關措施部分,考量到各國監理機關為提升監理效能及降低金融業者之法遵成本,均致力投入發展監理科技,因此金管會已督導證券周邊單位協力發展監理科技。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
郭佳君說,以技術應用來說,依序由較為基礎之流程機器人(RPA)、大數據,逐漸發展至人工智慧(主要為自然語言處理 ─ NLP)。若以應用範圍而言,則由市場監理逐步擴展至發行監理及中介機構監理。舉例而言,於市場監理部分,證交所及櫃買中心利用爬蟲程式擷取網路資訊,透過 AI 及 NLP 等語意分析技術執行文字探勘,進行網路論壇及社群媒體之監視。至於發行監理部分,則是運用 RPA 產製監理報表,簡化監理流程。在中介機構監理部分,集保結算所彙整股、債、票券、基金、跨境資產等大數據資料庫,用於交叉分析協助監理等。
面對日益嚴峻的資安威脅,提升業者資訊安全水準,強化網路服務安全與營運不中斷,亦是非常重要的工作。金管會也以要求各業者的資安規範需與時俱進,目前正透過公私協力方式,全力督導周邊單位就行動應用程式(APP)、雲端服務及網路身分驗證(eKYC)等新興資安議題,訂定網路安全防護基準、資訊系統安全防護基準及供應鏈風險管理等參考指引,並協助服務事業各公會配合前開指引檢討修正相關自律規範。
此外,為強化證券期貨業者資安風險管理及對資安事件之抵禦能力,金管會已要求定期辦理業者 DDoS 攻防及異地備援演練,並由周邊單位及相關公會成立電腦緊急應變支援小組(SF-CERT),以便在發生區域性災損時,仍然可維持核心業務運作,並由跨機構之資安聯防體系即時支援資安事件之應變處置,於最短時間內降低事件損害。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
