證交所 促券商強化資安防護

有鑑於網路已是金融業服務客戶的重要管道，金管會主委黃天牧日 前指示，「沒有資安就沒有業務」。也就是監管單位、金融業者、客 戶及提供金融業者服務的資訊業者整個生態鏈，都要注意資安，建立 整體資安的文化。　　由於近年來國人已習慣廣泛使用網路購物，參加各種網路社群，在 網路上大量暴露自己的各種個資。駭客利用人工智慧及大數據等新興 科技可以到網路上廣泛蒐集個資，進而取得大量帳號及密碼，就可以 利這些帳號密碼對證券商進行撞庫攻擊及偽冒下單等行為。　　證交所指出，近來除要求證券商強化資安防禦能力，也提醒投資人 採用優質密碼，並妥善保管及定期更改，是避免帳戶被駭客攻擊，維 護自身權益最好的方法。　　證交所表示，已要求證券商使用自行開發或資訊業者提供的網路下 單系統，於客戶登入帳戶及電子憑證下載時，應落實執行相關控管措 施，包括：　　一、客戶網路下單登入時，應採雙因子（如下單憑證、裝置綁定、 OTP、生物辨識等）認證防護機制。　　二、強化客戶申請或更新憑證機制，應增加與登入雙因子之不同因 子（如OTP、SIM憑證）驗證機制，避免非本人取得憑證。　　三、客戶應使用優質密碼設定進行控管，並確實執行密碼輸入錯誤 次數達一定次數時，應予中斷連線之控管機制。　　四、應注意客戶帳戶異常登入情形，即時了解登入異常原因，避免 遭他人非法使用。　　五、檢視各項防護措施，防護力不足應即修改系統，若無法即刻修 改應暫停該項服務或改採其他確認係客戶本人之驗證機制。　　證交所表示，證券商除應落實相關控管措施外，電子下單比重較高 之大型證券商並應建置入侵偵測與警示系統（IPS）、網頁應用程式 防火牆（WAF）及資安事件威脅偵測管理平台（SIEM）等網路資安防 禦設備，以強化整體資安防禦，避免駭客入侵風險。　　證交所強調，將持續對證券商進行落實相關防護機制的監控。證券 商除升級自身之資通安全系統，也協助客戶透過生物辨識及更換密碼 等方式強化資安防護。