金管會在12月14日要求證券期貨業者強化三大措施的落實,並提醒民眾應妥善保管網路下單的帳號密碼。(攝影/洪政偉)

上月底國內傳出證券用戶遭不明人士下單港股的情況,多家券商都出狀況,數日後,臺灣證券交易所與金管會宣布,11月30日證券期貨業者共同成立「證券暨期貨市場電腦緊急應變支援小組」(SF-CERT),最近,在12月14日,金管會表示將要求證券商與期貨商需強化三大防護措施,包括多因子認證、密碼錯誤3次中斷連線與異常登入方面的落實。

金管會表示,金融帳號密碼是客戶身分識別、認證,以及各項交易服務授權的主要工具,為保障網路下單交易安全,證券期貨商需強化安全措施,民眾也該有相關資安意識。

在金管會這次公布內容中,指出臺灣證券交易所與臺灣期貨交易所,需督導證券商及期貨商,針對三大防護措施面做好強化。

第一,應於網路下單登入時落實採多因子認證方式,如下單憑證、綁定裝置、OTP、生物辨識等,並強化憑證換發之驗證機制,以確保為客戶本人登入。

第二、應使用優質密碼設定,也就是建立密碼安全設定原則並進行控管,同時,需確實執行密碼輸入錯誤次數達3次,應中斷連線。此外,還有密碼更新的加強宣導。

第三、針對核心系統的帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等,應每日進行監控及分析異常登入原因,並於異常IP登入時,通知投資人,及留存相關紀錄。

此外,對於投資人而言,為避免下單帳戶遭盜用,金管會也再三呼籲,應謹記多項原則,包括:提高交易密碼強度,勿在不同服務使用相同的帳號密碼,不要於公用電腦輸入敏感資訊,不要共用帳密或交由他人保管,以及妥善保存身分證件、網路交易帳號密碼及相關的電子憑證。

值得關注的是,這些措施應是證券業早有的基本安全規範,但,這次事件似乎反映出業者不夠落實的問題。

金管會證期局回覆表示,在「建立證券商資通安全檢查機制」的法規中,已有明確條列,是證券商必須遵循,且納入內控的規範,若未遵循將可依證交法處置。例如,在第8條的存取控制中,在密碼管理一項,就有包含「密碼輸入錯誤次數達三次者,應予中斷連線。」的規範。此外,管理單位的督導與查核,同樣是需關注的面向。

附帶一提的是,以近期而言,在今年5月初,金管會也曾要求證券商強化相關措施,這是因為發現詐騙集團製作假冒的證券商頁面,並利用釣魚簡訊誘導民眾連至該網頁,騙取交易帳號與密碼。而我們也從金融資安資訊分享與分析中心網站找到疑似相關資訊,例如,在4月19日有疑似偽冒群益金鼎證券網站,在4月21日有疑似偽冒元大證券網站,還有疑似偽冒富邦證券、富邦期貨的App。而現在這次事件,金管會除了要證交所與證期所都要督導,內容也多了強化憑證換發的驗證機制,以及確實執行密碼輸入錯誤次數達3次者應予中斷連線。

對於近期券商用戶疑似遭撞庫攻擊導致冒名下單的事件,金管會在本月14日表示,將要求臺灣證交所與臺灣證期所督導券商強化三大措施。


熱門新聞

Advertisement