证交所 促券商强化资安防护

由于近年来国人已习惯广泛使用网路购物，参加各种网路社群，在网路上大量暴露自己的各种个资。骇客利用人工智慧及大数据等新兴科技可以到网路上广泛搜集个资，进而取得大量帐号及密码，就可以利这些帐号密码对证券商进行撞库攻击及偽冒下单等行为。

证交所指出，近来除要求证券商强化资安防御能力，也提醒投资人採用优质密码，并妥善保管及定期更改，是避免帐户被骇客攻击，维护自身权益最好的方法。

证交所表示，已要求证券商使用自行开发或资讯业者提供的网路下单系统，于客户登入帐户及电子凭证下载时，应落实执行相关控管措施，包括：

一、客户网路下单登入时，应採双因子（如下单凭证、装置绑定、OTP、生物辨识等）认证防护机制。

二、强化客户申请或更新凭证机制，应增加与登入双因子之不同因子（如OTP、SIM凭证）验证机制，避免非本人取得凭证。

三、客户应使用优质密码设定进行控管，并确实执行密码输入错误次数达一定次数时，应予中断连线之控管机制。

四、应注意客户帐户异常登入情形，即时了解登入异常原因，避免遭他人非法使用。

五、检视各项防护措施，防护力不足应即修改系统，若无法即刻修改应暂停该项服务或改採其他确认系客户本人之验证机制。

证交所表示，证券商除应落实相关控管措施外，电子下单比重较高之大型证券商并应建置入侵侦测与警示系统（IPS）、网页应用程式防火墙（WAF）及资安事件威胁侦测管理平台（SIEM）等网路资安防御设备，以强化整体资安防御，避免骇客入侵风险。

证交所强调，将持续对证券商进行落实相关防护机制的监控。证券商除升级自身之资通安全系统，也协助客户透过生物辨识及更换密码等方式强化资安防护。