雷厲要求上市公司加強資安 自己卻出大包 駭客入侵 美國證交會不敢說的祕密

美國證交會電腦系統被入侵，數千家上市公司資訊可能遭盜用作為內線交易，

證交會卻拖上一年才講出來，動搖投資人對美股的信心。

文／陳敏靜

9 月 20 日深夜，美國證券交易委員會（SEC）發布一份由主席柯雷頓（Jay Clayton） 署名的公開聲明，說明該機構的網路安全政策，在密密麻麻的 5 頁報告，其中一段簡略提到，上市公司用來發布重大訊息的 EDGAR 系統去年曾遭駭客入侵，但已修補漏洞，該機構已配合相關調查等等。

這段含糊其詞的文字立即引起全球關注。不只是因為所有的美股投資人驚覺，原來有人可以比他們搶先得知足以影響市場的公開資訊，藉此進行內線交易來牟取不當利潤。這整個事件的最大諷刺是，證交會雷厲風行要求上市公司加強資安，但自己卻延宕近一年才公開電腦系統遭駭。

一年前遭駭　9 月才公開

EDGAR 系統全名為「電子數據收集、分析及檢索系統」，是 5700 家上市公司申報季報、年報等財務報告，以及發布併購、高階人事異動等重大訊息的管道，相當於台灣證交所公開的資訊觀測站。證交會電腦系統被入侵，等於直搗美國金融體系的核心。

一週後，柯雷頓便被找去參議院銀行委員會聽證會作證。這位 SEC 主席是律師出身，今年 5 月上任，8 月得知此事。這起事件發生在前任主席懷特（Mary Jo White）任內，因此柯雷頓並未受到過多苛責。證交會已展開內部調查，並向國土安全部報告。

根據柯雷頓的說法，去年 10 月 EDGAR 系統遭入侵，同月證交會便發現。今年 8 月，證交會人員研判惡棍交易員可能利用取得的資訊進行不法交易，才向他報告此事。這起事件在內部並未公開，SEC 當時的委員史坦（Kara Stein）及皮沃瓦（Mike Piwowar），也是最近才知道此事，該委員會有些執法人員甚至是看了報紙才知道。但是，柯雷頓並未透露究竟被入侵的案情有多嚴重，或者多少公司資訊被盜等細節。

柯雷頓在面對國會質詢時，表示證交會本身是受害者。但是眾議院負責督導證交會的小組委員會主席修曾格（Bill Huizenga）表示，證交會負責保管資訊寶庫，這不是沒有人受害的犯罪案件，而是影響市場信心的重大事件。

上市企業在 EDGAR 系統申報的資訊全部都會公開，而且大多是上線後立即公布，問題出在所謂的測試系統。有些公司在正式公布前，會先測試發布程序，他們應該用測試用數據，但有些公司傻傻地用真實數據測試，讓有心人有機可乘，駭客可能提早數小時或數日取得資訊。

為了讓一般民眾公平取得資訊，SEC 在 1980 年代開始建立電子申報系統，九四年啟用 EDGAR 系統，當時是以磁碟片送交電子檔案，直到 2000 年才改採線上報告。

在有電腦系統之前的年代，公司與投資人都要將紙本文件送交 SEC 設在華府的主要辦公室。取得文件則更困難，投資人必須花錢請人去取件。除了媒體報導，投資人若沒有親自到 SEC 去查閱，根本無從得知上市企業究竟發布了哪些資訊。

駭客鑽漏洞　炒股價套利

近年來證交會斥資數千萬美元升級系統，但已有 20 多年歷史的 EDGAR 系統仍不時遭到濫用。一四年，學界研究人員發現，對沖基金和其他付費訂閱的投資人，可以更快看到該系統的文件（快了約十秒鐘），讓他們掌握潛在優勢。SEC 後來表示已解決這項問題。

這個系統較常發生的問題是有心人士發布假消息，趁機炒作股價。這類小道消息若以電子郵件傳送，一定被丟進垃圾桶，但在美國 SEC 網站發布，投資人會信以為真；例如，一五年 5 月 14 日，一名 37 歲的保加利亞男子 Nedko Nedev 呈送一份公開收購雅芳（Avon）的出價提案，促使雅芳股價當日暴漲 20%，主謀落袋 5000 美元，東窗事發後，資產遭到 SEC 凍結。

今年 5 月，SEC 又查獲維吉尼亞州一名數學工程師 Robert W. Murray，去年 11 月 10 日先買進智慧手環廠商 Fitbit 的認購期權，隨即在 EDGAR 系統發布假報告，說有一家公司要用高價收購 Fitbit 股票，該支個股隨即飆漲，該名工程師套利 3100 美元。這些騙子後來都遭到詐欺起訴。 

今年 7 月，美國政府責任署（GAO）發表一份 27 頁的報告，細數證交會資訊系統的缺失；報告指出，證交會並未隨時將資訊加密，也沒有完全落實該機構的資安建議。證交會辯稱，有實施其中的一些建議。

根據路透取得的政府內部備忘錄，去年的攻擊來自東歐一部伺服器，證交會研判沒有資料遭竊，便交由他們資訊處內部處理。可是，證交會執法部後來偵測到，一些企業公開資訊前，出現可疑交易的模式，於是詢問資訊處是否有公司以真實資料進行測試，才發現情節重大，而向柯雷頓報告。

美國聯邦調查局（FBI）和密勤局已對這件入侵案展開調查。消息人士表示，FBI 的調查重點是與入侵案相關的交易活動，並由紐澤西的幹員主導，可能是因 FBI 懷疑與他們先前破獲的一個駭客集團有關聯。

金融機構資安　依舊脆弱

一五年，紐澤西和布魯克林的聯邦檢察官，與證交會起訴一個由股票交易員及美國、烏克蘭駭客所組成的犯罪集團。他們從 Marketwire、PR Newswire 及 Business Wire 等網站提早取得公司新聞稿，進行內線交易，總計獲取高達一億美元的不法利潤。

SEC 先前曾以資安政策不周而向一些券商開罰，如今大水沖倒龍王廟，讓柯雷頓威信嚴掃地，因為他把打擊網路犯罪列為任內首要執法議題。這起入侵事件顯示，能輕易炒作股票的機密資訊，逐漸成為駭客的目標。

因此，繼 EDGAR 被入侵後，現在大家最擔心的是證交會正在建立中的綜合審計追蹤（CAT）系統。 這個龐大計畫是為了記錄美國股市每一筆交易的即時資訊，研判股市是否遭到操弄及揪出作弊者；但這有很高的資安風險，例如駭客可能破解投資人的交易策略，進行對作來獲利。EDGAR 被入侵，證實系統有其脆弱性。

加上前不久，美國消費者信用報告機構 Equifax 才傳出被駭客入侵，1 億 4300 萬人、約三分之二的美國民眾個人資料外洩，該公司高層主管陸續下台。美國重要金融機構資安紛紛出包，凸顯數位時代資安維護不可輕忽。

來源：《財訊雙週刊》 539 期

更多精彩內容請至 《財訊雙週刊》