深圳最大券商招商證券連續兩次出現交易系統故障,引起業內外高度關注。而在近一年來,證券公司、基金公司發生多起信息系統安全事件。據瞭解,日前監管部門下發一期《機構監管情況通報》,對相關信息系統安全事件案例專門進行了通報。
通報中,監管從公司內控管理、系統架構掌握、運維人員、移動App開發管理等多個方面分析了證券基金機構發生多起信息系統安全事件的原因。同時監管明確五項要求,以持續保障信息系統安全穩定運行。
業內表示,為避免相關隱患,證券基金經營機構應該建立完善的監控系統,同時最大限度避免人為操作風險,着重提升應急能力,維護交易系統的安全和穩定。
信息系統安全事件頻發
近期,有投資者在網絡上反映稱,招商證券PC端與App端系統均無法登錄,造成無法正常交易。
無獨有偶,同一天,華西證券交易系統也在早盤期間出現故障,導致無法交易。儘管在早盤收盤前,相關情況已得到解決,但也有不少投資者直言因交易系統宕機而造成經濟損失。
這已經不是招商證券第一次系統異常了,而上一次出現問題還是在今年3月14日,距離今天僅僅才剛過了兩個月。
此前,招商證券交易系統在3月14日出現了“交易頁面無法成交,無法撤回” 等系統故障,據投資者反映,故障時間長達30分鐘之久。
招商證券對此回應稱“集中交易系統所有交易委託都已實時傳送至交易所繫統,但是由於成交回報處理延遲,部分客户在客户端未及時收到成交回報信息,撤單交易受到影響。”
兩個月宕機兩次,對於招商證券這種千億級別的頭部券商來説極其罕見。對此,4月2日,深圳證監局發佈公告稱,招商證券在3月14日網絡安全事件中存在變更管理不完善,應急處置不及時、不到位等問題,因此決定對其採取責令改正措施。
深圳證監局強調,上述整改工作應於3個月內完成,並向深圳證監局報送整改報告。然而當時未能料到的是,3個月的整改期限還沒到,招商證券系統再次出現異常。
此外,國信證券旗下交易系統也曾在3月15日出現故障。彼時,有投資者反映,國信證券交易軟件出現行情不能刷新,無法看盤和交易的情況。
值得一提的是,類似的信息系統故障及安全事件並不僅僅發生在證券公司。2022 年 2 月 4 日、2 月 14日、2 月 28 日,3 家基金管理公司接連出現由於感染病毒或爬蟲程序導致官網無法訪問的網絡安全事件。
劍指信息系統安全事件
監管揭示五大原因
記者獲悉,針對頻頻發生的交易系統故障事件,證券基金機構監管部在新一期的《機構監管情況通報》中專門通報了相關信息系統安全事件案例,供全行業借鑑。
通報指出,近期,多家證券基金經營機構發生信息系統安全事件,尤其是招商證券短時間連續發生同類事件,影響投資者正常交易,給行業聲譽造成了負面影響。監管部門將依法開展調查工作,嚴肅處理相關機構及責任人員。
對於事件主要類型及反映出的問題,監管部門從五大方面進行了具體分析。其一,個別公司合規內控管理不到位,系統升級改造過程中存在薄弱環節。
通報以招商證券為例指出,2022 年 3 月 14 日、5 月 16 日,招商證券在週末系統升級過程中,測試場景尤其是壓力測試不夠充分,導致交易系統接連發生兩次信息系統安全事件。反映出當事機構合規與內控制度不健全或執行不到位。
其二,主體責任意識不強、履行不力,未清晰、準確、完整掌握外部供應商提供軟件的系統架構。
例如,首創證券的上交所報盤程序於去年5月18日發生故障,經排查,事故原因為軟件服務商工程師對部署在同一服務器上的資管系統升級時,升級包存在邏輯錯誤,反映出當事機構未有效落實相關辦法要求。
其三,運維人員操作規範性不足,未能建立有效的權限管理及複核機制。經梳理,有 6 起信息系統安全事件因運維人員操作不規範引發。反映出當事機構在運維工作的流程設計與監督檢查等方面存在疏漏。
其四,移動 APP 開發管理存在短板,已成為信息系統安全事件易發領域。2022 年 4 月 25 日,國家計算機病毒應急處理中心通報了 13 款證券公司移動 APP 存在隱私不合規行為,涉嫌超範圍採集個人隱私信息。反映出部分行業機構在開展數字化轉型、加大移動 APP 開發投入的同時,未能同步做好相應的安全管理工作。
其五,安全管理存在漏洞,應對外部網絡攻擊或爬蟲程序訪問等網絡防護能力仍需提升。
監管舉例稱,去年3 家基金公司接連出現網絡安全事件,反映出當事機構網絡安全防護能力不足,未能在訪問控制、入侵監測及防護、病毒防護、網絡安全等方面建立起全面有效的安全防護體系。
監管列明五大要求
持續加大信息技術管理監察力度
在通報中,監管部門同樣列明要求。通報指出,2022 年是黨的二十大勝利召開之年,也是資本市場全面深化改革的關鍵之年。請各證券基金經營機構對照上述問題,舉一反三,認真自查整改,維護好投資者合法權益,持續保障信息系統安全穩定運行。
其一,高度重視、加強管理,切實提升系統運維保障能力。一是壓實主體責任。健全信息技術管理體系和處罰問責機制,督促公司“一把手”、首席信息官和關鍵技術崗位人員時刻繃緊信息系統安全這根弦,切實履職盡責,抓好機構安全運營。
二是強化安全管理。三是加大技術保障。結合當前疫情防控形勢,加大信息技術投入,提升技術人員業務能力,保持核心技術人員穩定,做好應急值守安排。
其二,強化內部控制和合規管理,穩妥推進系統升級改造。一是明確內部責任分工。二是制定專項實施方案,充分驗證流程設計、功能設置、參數配置等相關內容,審慎開展涉及交易等核心業務環節的重要信息系統升級工作。三是完善系統
測試工作,加強壓力測試。
其三,定期開展系統健壯性評估,及時消除風險隱患。一是全面、準確識別數字化轉型過程中的各類技術風險,確保合規與風險管理覆蓋信息技術運用的各個環節。
二是建立健全信息系統安全監測機制。三是定期開展信息技術管理工作專項審計,深入排查信息系統架構問題及技術風險隱患,及時整改。
其四,嚴格落實客户信息保護要求,切實維護投資者合法權益。一是完善技術安全保障措施,二是加強信息系統管理,三是落實相關法律法規要求,加強移動 APP 管理。
其五,加強容量管理與災備能力建設,提升應急處突能力。一是落實系統容量管理及備份能力建設要求,結合公司發展戰略、業務規模等因素定期對重要信息系統開展壓力測試,確保其容量滿足業務開展需要。二是制定並持續完善應急預案,三是豐富應急處置場景。
下一階段,機構部將會同各證監局按照“穿透式監管、全鏈條問責”的原則,持續加大對證券基金經營機構合規內控與信息技術管理的監督檢查力度,對存在問題的機構和負有責任的人員實施“雙罰”,並在分類評價中從嚴處理。
制度建設保駕信息系統安全
事實上,證券基金行業早已進入信息化建設和業務同步發展的階段,機構的正常運作早已離不開數據資產的支持,包括客户信息、交易數據以及各種重要數據等。
而自2017年以來,證券行業對信息技術的投入累計已經超過1100億元,但是證券行業的數字化轉型之路任重而道遠。
恆泰證券相關業務負責人認為,現階段數字化轉型的路線和打法相對清晰,但是在轉型的過程中都或多或少會碰到與現有企業文化,技術平台,組織架構和投入產出相關的問題。
從上至下需要保持戰略定力,確保數字化戰略的貫徹執行;而從下至上則要選擇符合企業自身稟賦的執行路徑,先做什麼後做什麼,多做什麼少做什麼,而不是一味的模仿同業大幹快上,才能走出一條成功的數字化轉型之路。
上海證券金融科技總部相關負責人認為,數字化轉型不是簡單地搭建系統、建設平台、落地數據,而是涉及公司理念、文化、組織、業態、管理、流程等方面的全方位變革,應充分結合自身資源稟賦,以客户為中心提升證券金融服務質量和效率,降低企業運營成本和風險,積極探索打通內部生態鏈並融入外部生態圈,以數字化重塑業務流程和商業模式。而想要實現上述目標仍然面臨體制機制難以匹配轉型目標、資源投入相對不足、數據治理水平和數據質量不足、複合型人才緊缺四大難點。
證監會於2018年底出台,於2019年6月1日開始執行證監會第152號令《證券基金經營機構信息技術管理辦法》,作為行業信息技術監管的依據,對證券公司和基金管理公司、從事行業信息技術服務機構等具重要的意義。
管理辦法中強調了數據治理的必要性,對數據安全的管理職責有明確要求,並表明機構需要完善網絡系統保護經營數據和客户信息安全,防範數據泄漏。
證監會關於證券基金經營機構信息技術管理辦法中也明確提出“證券基金經營機構應當完善網絡隔離、用户認證、訪問控制、數據加密、數據備份、數據銷燬、日誌記錄、病毒防範和非法入侵檢測等安全保障措施,保護經營數據和客户信息安全,防範信息泄露與損毀。”
就基金公司數據安全而言,業內表示,隨着金融行業對於通信技術和計算機應用的依賴性不斷增加,各家基金司在如何確保信息系統穩定、高效運行方面日益受到各方關注。
近年來基金企業內的數據安全已逐步放到首要位置,包括數據的使用範圍、流轉、複製和篡改等。
本文源自中國基金報