1月3日,深圳证监局下发了新一期的证券期货机构监管通讯,其中提到两家券商的网络安全事件。
监管通讯指出,近期,某证券公司发生网络安全事件,公司技术部门应急处置后认为处置速度快、造成影响小,不构成网络安全事件,未履行报告义务。
经深圳证监局复查,该事件造成12名客户的17笔交易委托单出现延迟报送,最长延迟时间超过4分钟,属于网络安全事件。
此外,另一家证券公司核心交易系统容量评估不到位,向北交所申请的报盘网关流速容量不足,导致北交所交易流量突增时报盘拥堵,部分客户报盘及撤单延迟。
深圳证监局认为,上述事项反映出公司网络安全应急处置和信息系统管理存在薄弱环节。辖区各证券期货经营机构应建立健全网络安全应急处置机制,认真研判事件性质及风险等级,完善应急报告与处置流程,加强信息系统检测与容量评估,做好系统扩容的技术准备,确保交易系统安全稳定运行。
实际上,2023年出现网络安全问题的券商不在少数,其中多家还被监管问责。
去年12月25日,黑龙江证监局指出,江海证券存在网络安全管理、公司App等方面的问题,决定对其出具警示函。
黑龙江证监局指出,江海证券有两个方面的问题。一是关于IT治理、网络安全管理的内部决策、执行机制不健全,违反了《证券期货业网络和信息安全管理办法》(证监会令第218号)第九条第一款规定;二是公司APP个人信息保护合规性检测不充分,存在APP强制、频繁、过度索取权限问题,违反了《证券期货业网络和信息安全管理办法》第三十条规定。根据《证券期货业网络和信息安全管理办法》第六十二条第二款规定,决定对该券商采取出具警示函的行政监管措施。
去年12月21日,东兴证券出现“宕机”,后来该券商公告称,因普通交易系统延时增大,导致部分客户登录缓慢,立即调动资源经紧急排查,反复测试,该问题已消除,系统服务恢复正常。
去年7月,华宝证券因为网络安全问题被上海证监局处罚。监管称华宝证券2023年5月22日的网络安全事件中存在四方面的违规行为,包括变更重要信息系统前未充分评估技术风险、在事件调查过程中向上海证监局报送的部分数据不准确不完整等。
同月,深圳证监局对中信证券出具警示函措施的决定。监管指出中信证券在2023年6月19日的网络安全事件中,存在机房基础设施建设安全性不足,信息系统设备可靠性管理疏漏等问题。上述行为违反了《证券期货业网络和信息安全管理办法》第十三条相关规定。
去年五月底,东方财富证券因“宕机”事件收深交所警示函。该券商3月18日进行数据查询接口升级,因升级前论证测试不充分,未发现接口存在性能问题,导致交易及相关系统的安全稳定运行受到影响,且网络安全事件发生后未及时向深交所报告,违反了深交所的相关规定。
界面新闻注意到,2023年6月9日,中国证券业协会印发了《证券公司网络和信息安全三年提升计划(2023-2025)》,文件指出,鼓励有条件的券商2023年至2025年三个年度信息科技平均投入金额不少于上述三个年度平均净利润的10%或平均营业收入的7%,并保持稳定的资金投入。
业内人士表示,一般认为,系统运维和IT属于成本中心,往往对其不够重视。实际上现在交易电子化程度高,运维人员作用很重要,管理层应重新认识证券行业的发展方向。
北京市盈科律师事务所律师宋竟一告诉界面新闻,一些券商在快速发展的同时,可能忽视了网络安全的重要性,缺乏专业的网络安全管理和技术团队,导致网络安全风险防控能力较弱。
“需要加强网络安全技术防护,提高网络安全防护能力,防范网络攻击、勒索软件等风险。”她表示。