致持牌法团的通函
与遥距工作安排相关的网络保安风险管理

2020年4月29日



鉴于愈来愈多公司采用遥距工作安排,证券及期货事务监察委员会(证监会)提醒持牌法团须评估其操作能力,及实施适当的措施以管理与这些安排相关的网络保安风险。

当员工以遥距方式工作时,可能会从办事处以外的地点接达持牌法团的内部网络和系统,及透过视像会议平台举行会议。本通函就监控措施及程序列举了多个例子,以协助持牌法团保护内部网络和数据。持牌法团务请注意,以下例子并非详尽无遗。持牌法团应实施并维持就相关情况而言被视为适当且与其业务的规模和复杂程度相称的措施1

(A)    遥距接达内部网络和系统

近期,某持牌法团所汇报的一宗网络保安事故显示,网络罪犯如何利用虚拟私有网络(Virtual Private Network,简称VPN)软件2在市场上的已知漏洞,入侵该持牌法团的网络、存取客户数据及发出未经授权而转移资金的指示。

用以纾减与遥距接达相关的网络保安风险的适当监控措施及程序可以包括:

▪    实施稳健的VPN解决方案,藉以提供强效的加密程式及两重或以上的防护,以保障在遥距使用者装置与内部系统之间传输的数据的完整性;

▪    使用多个VPN伺服器以提供额外保障;

▪    及时监察、评估及执行VPN软件提供者发布的保安修补程式或修正程式3

▪    规定雇员、代理和服务提供者须使用难以破解的登入密码来进行遥距接达,及实施双重认证4,尤其是在接达特权帐户及敏感数据库时;

▪    避免向外界人士授出常设或永久接达权,及只容许系统供应商在预设的时段内接达特定的系统;

▪    实施不同级别的遥距接达,例如持牌法团所提供的电脑和流动装置配备比雇员私人拥有的装置更大的操作能力;

▪    实施保安监控措施,以防止有人在未经授权的情况下在提供给员工的电脑和装置内安装硬件和软件;及

▪    实施稳健的网络隔离措施,以根据关键程度来分隔系统伺服器及数据库,从而加强保护较为关键和敏感的数据,例如客户个人资料。

(B)    使用视像会议平台

与视像会议平台相关的保安问题时有报道。为了纾减有关未经授权的接达及泄漏关键或敏感数据的风险,适当的监控措施及程序可以包括:

▪    在使用视像会议平台之前,评估其保安特点;

▪    规定参与者须登记方可出席视像会议;

▪    透过查核使用者的电邮地址或利用“等候室”功能5等方式,只允许经认证及获授权的使用者加入视像会议;

▪    使用随机的会议编码,而非个人会议编码;

▪    透过会议软件或其他合法途径(例如办事处电邮)邀请参与者,并避免藉社交媒体帖文分享会议连结;

▪    在视像会议平台上启用密码保护功能;

▪    在适当情况下,于所有参与者加入后闭锁会议;及

▪    使用最近期版本的软件,并安装最新的保安修补程式。

(C)    其他支援遥距工作安排的措施

此外,持牌法团应在适当情况下制定以下措施,藉以提升操作能力,及监察各项遥距工作的机制:

系统能力

▪    评估现有的资讯科技基础设施、软件(例如遥距电脑装置、网络频宽及软件许可证)及硬件(例如手提电脑及流动装置)就支援遥距工作安排而言是否足够,并对其加以改进。

及事故处理

▪    实施监察机制,以侦测未经授权而接达内部网络和系统的情况,例如检视未经授权的接达尝试的列表,及侦测使用未经批准的应用程式的情况;及

▪    制定并维持有效的事故管理与汇报机制。

网络保安培训及警示

▪    向所有内部系统使用者提供充分的网络保安培训,及定期向客户发出适当的提示和警示,例如有关防范性保安措施的意见,新冒起的网络保安威胁和趋势(例如仿冒诈骗6及勒索软件),以及使用安全的无线网络来接达内部网络和视像会议平台。

如对本通函的内容有任何疑问,请联络你的个案主任。

证券及期货事务监察委员会
中介机构部
中介机构监察科

SFO/IS/018/2020


1    《证券及期货事务监察委员会持牌人或注册人操守准则》第4.3段规定,持牌法团须设有妥善的内部监控程序、财政资源及操作能力,而按照合理的预期,这些程序和能力足以保障其运作、客户或其他持牌人或注册人,以免其受偷窃、欺诈或不诚实的行为、专业上的失当行为或不作为而招致财政损失。此外,《适用于证券及期货事务监察委员会持牌人或注册人的管理、监督及内部监控指引》第IV部规定,持牌法团须确保所有与其业务运作有关的资料(包括以文件及电子方式储存的数据)都是完整、连贯、保密、齐备、可靠和详尽的,及确保运作及资料管理系统均配合公司的需要,并在保密及有充分监控的环境下运作。
2    VPN透过互联网提供由遥距装置至内部网络的加密连接,有助确保敏感数据在传输过程中得到保护。
3    多个资讯科技保安专业组织已就VPN软件中未修补的漏洞提出关注,这些漏洞容易被黑客利用,危害受害者的网络。
4    双重认证指使用以下任何两项元素的认证机制:客户所知的、客户所有的及客户是谁。
5    “等候室”功能让视像会议的主持人可只准许获授权的参与者加入会议。
6    仿冒诈骗是指黑客试图诱骗使用者犯错,例如点击会下载恶意程式的连结,或将他们导引至欺诈网站。


按这里下载文件


最后更新日期 : 2020年4月29日