防黑客滴水不漏 港证监金融局拟引进20项新指引

香港证监会将于今年第2季之内、就提升券商证券买卖户口之网络保安进行咨询，计划引进包括双重认证等20项新指引，包括登入户口时强制进行双重认证，并且透露香港金融管理局正与银行、就其客户证券买卖户口之网络保安进行沟通。

　　香港证监会最新表示，过去18个月，确认有20宗黑客入侵证券户口进行买卖事件，共涉资1.1亿港元，包括利用证券户口把股价炒高然后抛售、炒作小型股图利，个案有上升趋势，而有关案件警方仍在调查之中，因此香港证监会现正就推出20项有关网络保安的新指引，向业界进行咨询，当中包括登入户口时強制进行双重认证，有关的双重认证需利用密码、生物识别、编码器及一次性密码等两类型不同的认证组合；至于输入两个由客户自行设定密码的双重密码方式，则不属于双重认证，主要由于在过往案例曾发现，设有双重密码的证券帐户，也能被黑客成功入侵。

　　此外，香港证监会也要求业界定期更新防御系统，包含有有关防火墙及封锁恶意软件等，并且会就现有之要求作出更清晰定义。

　　(香港银行保安编码器)

　　至于银行证券买卖户口之网络保安，香港证监会表示，金管局正向银行进行“软咨询”，目前香港证监会正与金管局进行密切沟通，指出香港已有6家银行要求客户在网上进行证券交易之前，必须通过双重认证，而其余大部份银行亦予客户选择是否在进行网上交易之前，先进行双重认证，其中，后者客户采用率参差，但普遍有逐渐增加使用双重认证的趋势，

　　香港证监会强调，如果有关指引生效之后，券商无按照引而发生黑客交易，他们要负上一定的责任。

　　对于早前有报道指出，不少香港的银行反对强制实施双重认证，香港证监会表示，会继续与金管局作沟通，并且重申客户在进行网上交易之前，只须要作出一次性双重认证，而非每宗网上交易前均须进行认证，因此客户及券商不需忧虑浪费时间，而放弃提升网络保安。

　　对于业界担心强制引进双重认证，将会增加营运成本，香港证监会指出，根据顾问研究报告显示，券商引进双重认证的最低门坎只需约数万港元。同时，券商也可参与香港创新科技署的科技券计划，资助其网络系统安全升级。

　　金管局发言人表示，为进一步巩固网上证券交易之安全性，金管局已开始进行咨询，寻求银行界对要求其客户在进行网上交易之前，必须通过双重认证之建议的看法，而金管局在作出决定之前，将与业界保持沟通。

　　目前香港证监会及金管局没有强制要求证券公司及银行的客户，在买卖股票之前先进行双重认证，但渣打香港及星展香港等香港6家银行，已经率先提升保安，客户于登入证券账户或买入指定个股之前，必须先进行双重认证，例如使用个人密码及短讯密码，或使用个人密码及保安编码器。

　　渣打香港区行政总裁的禤惠仪表示，该行证券服务推出强制双重认证之后，客户流量及交易量整体未见负面影响，认为用户需要时间适应，但不至于影响银行生意。

　　香港信息科技商会信息保安召集人范健文指出，银行应该强制要求客户双重认证，因为未来只会愈来愈多网络攻击，牵涉个人私隐及财产的事不应贪方便，多花一分钟也要做多一份保障。

　　另一方面，香港立法会金融 界议员张华峰认为，客户登入系统时已认证身份，如果买卖个股时再要进行认证，多一个手续，时间要更长，股票价格可能会不同，认为应该让客人自由去选择使用。

　　金管局副总裁阮国恒早前表示，去年累计有8家银行向金管局汇报，指客户的网上银行被入侵并且进行未经授权股票交易，涉及个案共95宗，其中78宗个案由银行全数赔偿客户损失，涉额1600万港元，余下部分个案则未能确定损失。