張燕北 證券時報
深圳最大券商招商證券連續(xù)兩次出現(xiàn)交易系統(tǒng)故障,引起業(yè)內(nèi)外高度關(guān)注。而在近一年來,證券公司、基金公司發(fā)生多起信息系統(tǒng)安全事件。據(jù)了解,日前監(jiān)管部門下發(fā)一期《機構(gòu)監(jiān)管情況通報》,對相關(guān)信息系統(tǒng)安全事件案例專門進行了通報。
通報中,監(jiān)管從公司內(nèi)控管理、系統(tǒng)架構(gòu)掌握、運維人員、移動App開發(fā)管理等多個方面分析了證券基金機構(gòu)發(fā)生多起信息系統(tǒng)安全事件的原因。同時監(jiān)管明確五項要求,以持續(xù)保障信息系統(tǒng)安全穩(wěn)定運行。
業(yè)內(nèi)表示,為避免相關(guān)隱患,證券基金經(jīng)營機構(gòu)應(yīng)該建立完善的監(jiān)控系統(tǒng),同時最大限度避免人為操作風(fēng)險,著重提升應(yīng)急能力,維護交易系統(tǒng)的安全和穩(wěn)定。
信息系統(tǒng)安全事件頻發(fā)
近期,有投資者在網(wǎng)絡(luò)上反映稱,招商證券PC端與App端系統(tǒng)均無法登錄,造成無法正常交易。
無獨有偶,同一天,華西證券交易系統(tǒng)也在早盤期間出現(xiàn)故障,導(dǎo)致無法交易。盡管在早盤收盤前,相關(guān)情況已得到解決,但也有不少投資者直言因交易系統(tǒng)宕機而造成經(jīng)濟損失。
這已經(jīng)不是招商證券第一次系統(tǒng)異常了,而上一次出現(xiàn)問題還是在今年3月14日,距離今天僅僅才剛過了兩個月。
此前,招商證券交易系統(tǒng)在3月14日出現(xiàn)了“交易頁面無法成交,無法撤回” 等系統(tǒng)故障,據(jù)投資者反映,故障時間長達30分鐘之久。
招商證券對此回應(yīng)稱“集中交易系統(tǒng)所有交易委托都已實時傳送至交易所系統(tǒng),但是由于成交回報處理延遲,部分客戶在客戶端未及時收到成交回報信息,撤單交易受到影響!
兩個月宕機兩次,對于招商證券這種千億級別的頭部券商來說極其罕見。對此,4月2日,深圳證監(jiān)局發(fā)布公告稱,招商證券在3月14日網(wǎng)絡(luò)安全事件中存在變更管理不完善,應(yīng)急處置不及時、不到位等問題,因此決定對其采取責(zé)令改正措施。
深圳證監(jiān)局強調(diào),上述整改工作應(yīng)于3個月內(nèi)完成,并向深圳證監(jiān)局報送整改報告。然而當(dāng)時未能料到的是,3個月的整改期限還沒到,招商證券系統(tǒng)再次出現(xiàn)異常。
此外,國信證券旗下交易系統(tǒng)也曾在3月15日出現(xiàn)故障。彼時,有投資者反映,國信證券交易軟件出現(xiàn)行情不能刷新,無法看盤和交易的情況。
值得一提的是,類似的信息系統(tǒng)故障及安全事件并不僅僅發(fā)生在證券公司。2022 年 2 月 4 日、2 月 14日、2 月 28 日,3 家基金管理公司接連出現(xiàn)由于感染病毒或爬蟲程序?qū)е鹿倬W(wǎng)無法訪問的網(wǎng)絡(luò)安全事件。
劍指信息系統(tǒng)安全事件
監(jiān)管揭示五大原因
記者獲悉,針對頻頻發(fā)生的交易系統(tǒng)故障事件,證券基金機構(gòu)監(jiān)管部在新一期的《機構(gòu)監(jiān)管情況通報》中專門通報了相關(guān)信息系統(tǒng)安全事件案例,供全行業(yè)借鑒。
通報指出,近期,多家證券基金經(jīng)營機構(gòu)發(fā)生信息系統(tǒng)安全事件,尤其是招商證券短時間連續(xù)發(fā)生同類事件,影響投資者正常交易,給行業(yè)聲譽造成了負面影響。監(jiān)管部門將依法開展調(diào)查工作,嚴肅處理相關(guān)機構(gòu)及責(zé)任人員。
對于事件主要類型及反映出的問題,監(jiān)管部門從五大方面進行了具體分析。其一,個別公司合規(guī)內(nèi)控管理不到位,系統(tǒng)升級改造過程中存在薄弱環(huán)節(jié)。
通報以招商證券為例指出,2022 年 3 月 14 日、5 月 16 日,招商證券在周末系統(tǒng)升級過程中,測試場景尤其是壓力測試不夠充分,導(dǎo)致交易系統(tǒng)接連發(fā)生兩次信息系統(tǒng)安全事件。反映出當(dāng)事機構(gòu)合規(guī)與內(nèi)控制度不健全或執(zhí)行不到位。
其二,主體責(zé)任意識不強、履行不力,未清晰、準確、完整掌握外部供應(yīng)商提供軟件的系統(tǒng)架構(gòu)。
例如,首創(chuàng)證券的上交所報盤程序于去年5月18日發(fā)生故障,經(jīng)排查,事故原因為軟件服務(wù)商工程師對部署在同一服務(wù)器上的資管系統(tǒng)升級時,升級包存在邏輯錯誤,反映出當(dāng)事機構(gòu)未有效落實相關(guān)辦法要求。
其三,運維人員操作規(guī)范性不足,未能建立有效的權(quán)限管理及復(fù)核機制。經(jīng)梳理,有 6 起信息系統(tǒng)安全事件因運維人員操作不規(guī)范引發(fā)。反映出當(dāng)事機構(gòu)在運維工作的流程設(shè)計與監(jiān)督檢查等方面存在疏漏。
其四,移動 APP 開發(fā)管理存在短板,已成為信息系統(tǒng)安全事件易發(fā)領(lǐng)域。2022 年 4 月 25 日,國家計算機病毒應(yīng)急處理中心通報了 13 款證券公司移動 APP 存在隱私不合規(guī)行為,涉嫌超范圍采集個人隱私信息。反映出部分行業(yè)機構(gòu)在開展數(shù)字化轉(zhuǎn)型、加大移動 APP 開發(fā)投入的同時,未能同步做好相應(yīng)的安全管理工作。
其五,安全管理存在漏洞,應(yīng)對外部網(wǎng)絡(luò)攻擊或爬蟲程序訪問等網(wǎng)絡(luò)防護能力仍需提升。
監(jiān)管舉例稱,去年3 家基金公司接連出現(xiàn)網(wǎng)絡(luò)安全事件,反映出當(dāng)事機構(gòu)網(wǎng)絡(luò)安全防護能力不足,未能在訪問控制、入侵監(jiān)測及防護、病毒防護、網(wǎng)絡(luò)安全等方面建立起全面有效的安全防護體系。
監(jiān)管列明五大要求
持續(xù)加大信息技術(shù)管理監(jiān)察力度
在通報中,監(jiān)管部門同樣列明要求。通報指出,2022 年是黨的二十大勝利召開之年,也是資本市場全面深化改革的關(guān)鍵之年。請各證券基金經(jīng)營機構(gòu)對照上述問題,舉一反三,認真自查整改,維護好投資者合法權(quán)益,持續(xù)保障信息系統(tǒng)安全穩(wěn)定運行。
其一,高度重視、加強管理,切實提升系統(tǒng)運維保障能力。一是壓實主體責(zé)任。健全信息技術(shù)管理體系和處罰問責(zé)機制,督促公司“一把手”、首席信息官和關(guān)鍵技術(shù)崗位人員時刻繃緊信息系統(tǒng)安全這根弦,切實履職盡責(zé),抓好機構(gòu)安全運營。
二是強化安全管理。三是加大技術(shù)保障。結(jié)合當(dāng)前疫情防控形勢,加大信息技術(shù)投入,提升技術(shù)人員業(yè)務(wù)能力,保持核心技術(shù)人員穩(wěn)定,做好應(yīng)急值守安排。
其二,強化內(nèi)部控制和合規(guī)管理,穩(wěn)妥推進系統(tǒng)升級改造。一是明確內(nèi)部責(zé)任分工。二是制定專項實施方案,充分驗證流程設(shè)計、功能設(shè)置、參數(shù)配置等相關(guān)內(nèi)容,審慎開展涉及交易等核心業(yè)務(wù)環(huán)節(jié)的重要信息系統(tǒng)升級工作。三是完善系統(tǒng)測試工作,加強壓力測試。
其三,定期開展系統(tǒng)健壯性評估,及時消除風(fēng)險隱患。一是全面、準確識別數(shù)字化轉(zhuǎn)型過程中的各類技術(shù)風(fēng)險,確保合規(guī)與風(fēng)險管理覆蓋信息技術(shù)運用的各個環(huán)節(jié)。
二是建立健全信息系統(tǒng)安全監(jiān)測機制。三是定期開展信息技術(shù)管理工作專項審計,深入排查信息系統(tǒng)架構(gòu)問題及技術(shù)風(fēng)險隱患,及時整改。
其四,嚴格落實客戶信息保護要求,切實維護投資者合法權(quán)益。一是完善技術(shù)安全保障措施,二是加強信息系統(tǒng)管理,三是落實相關(guān)法律法規(guī)要求,加強移動 APP 管理。
其五,加強容量管理與災(zāi)備能力建設(shè),提升應(yīng)急處突能力。一是落實系統(tǒng)容量管理及備份能力建設(shè)要求,結(jié)合公司發(fā)展戰(zhàn)略、業(yè)務(wù)規(guī)模等因素定期對重要信息系統(tǒng)開展壓力測試,確保其容量滿足業(yè)務(wù)開展需要。二是制定并持續(xù)完善應(yīng)急預(yù)案,三是豐富應(yīng)急處置場景。
下一階段,機構(gòu)部將會同各證監(jiān)局按照“穿透式監(jiān)管、全鏈條問責(zé)”的原則,持續(xù)加大對證券基金經(jīng)營機構(gòu)合規(guī)內(nèi)控與信息技術(shù)管理的監(jiān)督檢查力度,對存在問題的機構(gòu)和負有責(zé)任的人員實施“雙罰”,并在分類評價中從嚴處理。
制度建設(shè)保駕信息系統(tǒng)安全
事實上,證券基金行業(yè)早已進入信息化建設(shè)和業(yè)務(wù)同步發(fā)展的階段,機構(gòu)的正常運作早已離不開數(shù)據(jù)資產(chǎn)的支持,包括客戶信息、交易數(shù)據(jù)以及各種重要數(shù)據(jù)等。
而自2017年以來,證券行業(yè)對信息技術(shù)的投入累計已經(jīng)超過1100億元,但是證券行業(yè)的數(shù)字化轉(zhuǎn)型之路任重而道遠。
恒泰證券相關(guān)業(yè)務(wù)負責(zé)人認為,現(xiàn)階段數(shù)字化轉(zhuǎn)型的路線和打法相對清晰,但是在轉(zhuǎn)型的過程中都或多或少會碰到與現(xiàn)有企業(yè)文化,技術(shù)平臺,組織架構(gòu)和投入產(chǎn)出相關(guān)的問題。
從上至下需要保持戰(zhàn)略定力,確保數(shù)字化戰(zhàn)略的貫徹執(zhí)行;而從下至上則要選擇符合企業(yè)自身稟賦的執(zhí)行路徑,先做什么后做什么,多做什么少做什么,而不是一味的模仿同業(yè)大干快上,才能走出一條成功的數(shù)字化轉(zhuǎn)型之路。
上海證券金融科技總部相關(guān)負責(zé)人認為,數(shù)字化轉(zhuǎn)型不是簡單地搭建系統(tǒng)、建設(shè)平臺、落地數(shù)據(jù),而是涉及公司理念、文化、組織、業(yè)態(tài)、管理、流程等方面的全方位變革,應(yīng)充分結(jié)合自身資源稟賦,以客戶為中心提升證券金融服務(wù)質(zhì)量和效率,降低企業(yè)運營成本和風(fēng)險,積極探索打通內(nèi)部生態(tài)鏈并融入外部生態(tài)圈,以數(shù)字化重塑業(yè)務(wù)流程和商業(yè)模式。而想要實現(xiàn)上述目標仍然面臨體制機制難以匹配轉(zhuǎn)型目標、資源投入相對不足、數(shù)據(jù)治理水平和數(shù)據(jù)質(zhì)量不足、復(fù)合型人才緊缺四大難點。
證監(jiān)會于2018年底出臺,于2019年6月1日開始執(zhí)行證監(jiān)會第152號令《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》,作為行業(yè)信息技術(shù)監(jiān)管的依據(jù),對證券公司和基金管理公司、從事行業(yè)信息技術(shù)服務(wù)機構(gòu)等具重要的意義。
管理辦法中強調(diào)了數(shù)據(jù)治理的必要性,對數(shù)據(jù)安全的管理職責(zé)有明確要求,并表明機構(gòu)需要完善網(wǎng)絡(luò)系統(tǒng)保護經(jīng)營數(shù)據(jù)和客戶信息安全,防范數(shù)據(jù)泄漏。
證監(jiān)會關(guān)于證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法中也明確提出“證券基金經(jīng)營機構(gòu)應(yīng)當(dāng)完善網(wǎng)絡(luò)隔離、用戶認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)備份、數(shù)據(jù)銷毀、日志記錄、病毒防范和非法入侵檢測等安全保障措施,保護經(jīng)營數(shù)據(jù)和客戶信息安全,防范信息泄露與損毀!
就基金公司數(shù)據(jù)安全而言,業(yè)內(nèi)表示,隨著金融行業(yè)對于通信技術(shù)和計算機應(yīng)用的依賴性不斷增加,各家基金司在如何確保信息系統(tǒng)穩(wěn)定、高效運行方面日益受到各方關(guān)注。
近年來基金企業(yè)內(nèi)的數(shù)據(jù)安全已逐步放到首要位置,包括數(shù)據(jù)的使用范圍、流轉(zhuǎn)、復(fù)制和篡改等。
來源:中國基金報