期货和衍生品行业监管动态




                                                      中国香港




                   18. 香港证券及期货事务监察委员会发表网络安全主题报告 重点检查涉及持牌


                   机构的相关事故和所引发的业务中断（2025 年 2 月 6 日）



                        香港证券及期货事务监察委员会（SFC）注意到近几年发生的一些重大网络

                   安全事故，涉及针对持牌机构的网络攻击，造成了严重业务中断，也有客户账户

                   遭黑客入侵。


                        SFC 在其发表的《2023/24 年持牌机构网络安全主题检查报告》中指出，在

                   2021 至 2024 年间，持牌机构向 SFC 报告了八起重大网络安全漏洞事故。在某些

                   个案中，不法分子通过网络安全漏洞入侵持牌机构的网络，并在控制客户账户后

                   进行未经授权交易。在这些事故中，常见的弱点包括采用生命周期结束的软件


                   （end-of-life software），以及加密客户数据的算法薄弱（注 1）。


                        这些漏洞反映出持牌机构的高级管理层的监管力度和网络安全保障措施不

                   足。


                        此外，为了应对新兴的网络安全风险，SFC 在报告中列明了持牌机构在监测

                   及防范仿冒诈骗（或称网络钓鱼）、管理生命周期结束的软件（end-of-life software）、

                   远程访问、管理第三方 IT 服务供应商，以及云端安全方面的应达到的行为标准。


                        SFC 中介机构部执行董事叶志衡博士表示：“在高度互联和数字化的世界中，

                   持牌机构务必采取一切必要措施，以抵御日益复杂和普遍的网络攻击。它们若未

                   能应对日益严重的威胁并缓解相关风险，不仅会危及自身安全，更会损害客户甚

                   至整个金融体系的安全。为此，高级管理层也必须意识到，保障机构的网络安全

                   至关重要，而不应仅将这些责任留给 IT 部门来承担。”


                        SFC 将于 2 月联同香港警务处举办网络安全网络研讨会，以进一步分享此次

                   主题检查的发现及香港常见的网络安全威胁（注 2）。


                        SFC 还将于 2025 年再次全面检查现行的网络安全规定及预期标准，以制定




                                                             46