證交所下通牒 券商下單系統 3月底前要升級

證交所與券商共同防禦撞庫下單事件

證交所近期密集召集證券商開會及發函,要求未完成登入及下載憑證雙因子認證(OTP)的證券商,1月24日(含)前須強制客戶全面更新密碼;另值得注意的是,證交所要求多數券商在3月底前完成符合資安條件的電子下單系統,並進行清查結果,若非客戶本人下載交易憑證或無法確認,則憑證將遭註銷,或將帳戶買賣額度設控爲0。

證交所副總趙龍特別呼籲投資人,若下單的證券商若未符合資安標準,應儘速更改帳戶密碼;萬一遭駭,帳戶人所有資料、股票庫存等全都露,個人資安曝露在風險之下。

證交所副總兼發言人陳麗卿表示,距離24日還有5天的時間,即使22日及23日適逢週六日,但仍不影響投資人更改密碼,建議投資人儘快上去更改,否則屆時只能轉爲電話等人工下單。

爲避免農曆年前後再遭駭,證交所日前發函除要求券商視防禦能力關閉非必要對外系統,並警告券商若發生遭僞冒下單,且經查是因未修改防護力不足的電子下單系統,同時也未有效確認憑證下載是否爲客戶本人要求的驗證機制,將加重處罰,並要求券商停止該防護力不足的電子下單系統。

趙龍表示,證交所過去多以柔性勸導,但希望透過這一次能釜底抽薪,杜絕未來再次發生駭攻擊的資安事件,要求所有證券商有電子式下單系統,要限期全數修改程式,要符合資安標準,包括有雙因子認證(包括生物辨識或裝置綁定等)、有一次性密碼(OTP)等認證程序。

證交所統計,國內共有69家證券商,其中49家有電子下單,全數爲本土券商,但證券商建置雙因子、OTP的情況明顯落後,有17家完全未建置、24家部分建置、僅有8家已完全建置,多數券商都允諾今年3月底完成建置,僅2家上半年底纔會完成。

證交所於元月7日召集49家有電子下單的券商開會,決定限期要求若未符合資案標準的證券商,要在1月24日前要求客戶更改密碼,經過統計,應更改密碼的投資人近500萬人,目前約完成五成,尚有250多萬人未完成。

針對證交所要求證交商要全面達到符合資安標準,證交所要求券商應清查已下載而未交易之憑證,確認是否爲其本人下載,若不是客戶本人或無法確認,則電子下單憑證將遭註銷,或將帳戶買賣額度設控爲0。