「沒資安就沒業務」 證交所五招盯券商資安控管

現代人生活離不開網路，證交所除緊盯券商資安外，也呼籲投資人採用優質密碼，並妥善保管及定期更改，避免帳戶被駭客攻擊，維護自身權益。

網路已是金融業服務客戶的重要管道，但被駭客盯上的新聞也時有所聞，金管會主委黃天牧日前在一場會議中告誡金融業與監理單位注意資安問題，強調「沒有資安就沒有業務」，呼籲客戶與提供金融業者服務的資訊業者整個生態鏈都要注意資安，建立整體資安文化。

在券商部分，證交所要求證券商使用自行開發或資訊業者提供的網路下單系統，於客戶登入帳戶及電子憑證下載時，應落實執行相關控管措施，包括：客戶網路下單登入時，應採雙因子認證防護機制。

其次，強化客戶申請或更新憑證機制，應增加與登入雙因子之不同因子驗證機制，避免非本人取得憑證。

第三、 客戶應使用優質密碼設定進行控管，並確實執行密碼輸入錯誤次數達一定次數時，應予中斷連線之控管機制；第四、 應注意客戶帳戶異常登入情形，即時了解登入異常原因，避免遭他人非法使用。

第五，券商應定期檢視各項防護措施，防護力不足應即修改系統，若無法即刻修改應暫停該項服務或改採其他確認是客戶本人的驗證機制。

證交所表示，券商除應落實相關控管措施外，電子下單比重較高之大型證券商並應建置入侵偵測與警示系統 (IPS)、網頁應用程式防火牆 (WAF) 及資安事件威脅偵測管理平台 (SIEM) 等網路資安防禦設備，以強化整體資安防禦，避免駭客入侵風險。