中国基金报记者 张燕蓓
深圳最大券商招商证券连续发生两次交易系统故障,引发行业内外高度关注,近一年来,证券公司、基金公司信息系统安全事件频发,据了解,监管部门近期发布的《机构监管情况报告》专门报道了相关信息系统安全事件案例。
通知中,监管部门从内控管理、系统架构、运维人员、移动APP开发管理等多个方面,分析了证券基金机构多起信息系统安全事件发生的原因,同时明确了五项要求,持续确保信息系统安全稳定运行。
业内人士表示,为避免相关隐患,证券、基金运营机构应建立完善的监控体系,在最大限度降低人为操作风险的同时,注重提高应急处置能力,维护交易系统的安全稳定。
信息系统安全事件频发
近日,有投资者在网上反映,无法同时登录招商证券PC端和App系统,导致无法正常交易。
无独有偶,同日,华西证券交易系统在早盘也出现故障,导致无法交易,虽然早盘收盘前相关情况已经解决,但也有不少投资者表示,因交易系统故障遭受资金损失。
这并非招商证券第一次出现系统异常,上一次问题发生在今年3月14日,距今仅两个月。
此前,3月14日,招商证券交易系统出现“交易页面交易无法完成、无法提现”等系统故障,据投资者反映,故障持续时间长达30分钟。
招商证券回应称“集中交易系统所有交易订单均已实时传送至交易所系统,但因成交申报延迟,部分客户在客户端未能及时收到成交申报信息,订单取消受到影响。”
对于招商证券这样一家市值上千亿的头部券商来说,两个月内发生两次宕机事件极为罕见。对此,4月2日,深圳证监局发布公告称,招商证券3月14日发生的网络安全事件,存在变更管理不完善、应急处置不及时、不到位等问题,决定对其采取整改措施。
深圳证监局强调,上述整改工作须在三个月内完成,并向深圳证监局提交整改报告。然而当时没想到的是,三个月的整改期还未到,招商证券系统再次出现异常。
此外,国信证券交易系统在3月15日也出现故障,当时有投资者反映,国信证券交易软件行情信息无法刷新,无法查看行情和进行交易。
值得一提的是,类似的信息系统故障和安全事件并不只发生在证券公司,2022年2月4日、2月14日、2月28日,三家基金管理公司相继发生受病毒或爬虫程序影响导致官方网站无法访问的网络安全事件。
针对信息系统安全事件
监管揭露五大原因
记者了解到,针对频繁发生的交易系统故障,证券基金机构监管部在最新一期的《机构监管情况通报》中专门通报了相关信息系统安全事件案例,供全行业参考。
通知指出,近期,多家证券、基金管理机构相继发生信息系统安全事件,特别是招商证券,短时间内相继发生类似事件,影响投资者正常交易,给行业声誉造成负面影响,监管部门将依法进行调查,对相关机构及责任人予以严厉处罚。
监管部门从五个方面对主要事件类型及其反映的问题进行了详细分析:一是部分公司合规内控管理不到位,制度升级改造过程中存在薄弱环节。
以招商证券为例,通报指出,2022年3月14日、5月16日,招商证券周末系统升级过程中,测试场景特别是压力测试不充分,导致交易系统连续发生两次信息系统安全事件。这反映出相关机构合规内控制度不健全或执行不到位。
二是主体责任意识淡薄,没有履行好职责,对外部供应商所提供软件的系统架构了解不够清楚、准确、完整。
例如去年5月18日首创证券上交所报价程序发生故障,经调查发现,事故原因是软件服务商的工程师在对部署在同一服务器上的资产管理系统进行升级时,升级包出现逻辑错误,这反映出有关机构未有效落实相关办法的要求。
三是运维人员操作不够规范,未建立有效的权限管理和审核机制。经梳理招商证券看盘软件,6起信息系统安全事件均是由于运维人员操作不规范导致的,这反映出有关机构在运维工作中存在不规范、流程设计和监督检查等方面存在疏漏。
四是移动端APP开发管理存在短板,已成为信息系统安全事件的多发领域。2022年4月25日,国家计算机病毒应急处理中心通报,13家证券公司移动端APP存在隐私不合规行为,涉嫌超越法律规定范围收集个人隐私信息。这反映出部分行业机构在进行数字化转型、加大移动端APP开发投入的同时,未能做好相应的安全管理。
五是安全管理存在漏洞,防范外部网络攻击、爬虫程序接入等网络防护能力仍有待提高。
监管层举例称,去年有3家基金公司发生网络安全事件,反映出涉事机构网络安全防护能力不足,在访问权限控制、入侵监控与防护、病毒防护、网络安全防护等方面未建立完善有效的安全防护体系。
监管机构提出五大要求
继续加强信息技术管理和监督
在通知中,监管部门也列出了要求,通知指出,2022年是中国共产党第20次全国代表大会胜利召开之年,也是全面深化资本市场改革的关键一年,请各证券、基金经营机构参照上述问题,引以为戒,认真开展自查整改,维护投资者合法权益,持续保障信息系统安全稳定运行。
一是高度重视、加强管理,切实提升系统运行维护保障能力。一是强化主体责任。完善信息技术管理制度和处罚问责机制,督促公司“一把手”、首席信息官和技术骨干人员始终把信息系统安全当成头等大事,认真履职尽责,确保组织安全运行。
二是加强安全管理。三是加大技术保障力度。结合当前疫情防控形势,加大信息技术投入招商证券看盘软件,提升技术人员专业能力,保持核心技术人员稳定,做好应急值守安排。
二是加强内控合规管理,稳步推进系统升级改造。一是明确内部职责分工。二是制定专项实施方案,充分核实流程设计、功能设置、参数配置等相关内容,审慎开展涉及核心业务环节的重要信息系统升级工作。
测试工作,加强压力测试。
三是定期开展系统稳健性评估,及时消除潜在风险。一是全面、准确识别数字化转型过程中的各类技术风险,确保合规与风险管理覆盖信息技术应用的各个环节。
二是建立健全信息系统安全监测机制。三是定期开展信息技术管理专项审计,深入排查信息系统架构问题和技术风险,及时整改。
四是严格落实客户信息保护要求,切实维护投资者合法权益。一是完善技术安全措施,二是加强信息系统管理,三是落实相关法律法规,加强手机APP管理。
五是加强容量管理和灾备能力建设,提高应急处置能力。一是落实系统容量管理和备份能力要求,结合公司发展战略、业务规模等因素,定期对重要信息系统进行压力测试,确保其容量满足业务发展需要。二是制定并不断完善应急预案,三是丰富应急处置场景。
下阶段,机构部将会同各证监局,按照“穿透式监管、全链条问责”原则,继续加强对证券、基金管理机构合规、内控和信息技术管理工作的监督检查,对存在问题和问题整改到位的机构及责任人实行“双惩”,并在分类评价中从严处理。
体系建设保障信息系统安全
事实上,证券基金行业早已进入信息化建设与业务发展同步的阶段,机构的正常运转早已离不开数据资产的支撑,包括客户信息、交易数据以及各类重要数据。
2017年以来,证券行业信息技术累计投入已超过1100亿元,但证券行业数字化转型依然任重道远。
恒泰证券相关业务经理认为,现阶段数字化转型的路线和策略已经比较清晰,但在转型过程中,或多或少会与现有的企业文化、技术平台、组织架构、投入产出等存在冲突,因此,数字化转型过程中需要解决的相关问题。
从上而下,我们需要保持战略定力,确保数字化战略落地;从下而上,我们需要选择适合企业自身禀赋的执行路径,先做什么后做什么,多做什么少做什么,而不是盲目地去做。只有模仿同行,脚踏实地,才能走出一条数字化转型的成功之路。
上海证券金融科技总部相关负责人认为,数字化转型不是简单地建系统、建平台、落地数据,而是涉及公司理念、文化、组织、商业模式、管理、流程等全方位的变革,要充分挖掘公司资源禀赋,以客户为中心提升证券金融服务质量和效率,降低公司运营成本和风险,积极探索打通内部生态链并融入外部生态圈,以数字化重塑业务流程和商业模式。目前仍面临四大难点:体制机制难以匹配转型目标、资源投入相对不足、数据治理水平和数据质量不足、复合型人才短缺。
证监会于2018年底发布《证券基金经营机构信息技术管理办法》,并于2019年6月1日起开始实施证监会第152号令,作为行业信息技术监管的依据,对信息技术服务机构具有重要意义。
管理办法强调数据治理的必要性,对数据安全的管理职责作出明确要求,并指出机构需要完善网络系统,保障业务数据和客户信息安全,防止数据泄露。
证监会的《证券、基金经营机构信息技术管理办法》也明确指出,“证券、基金经营机构应当完善网络隔离、用户身份验证、访问控制、数据加密、数据备份、数据销毁、日志记录、病毒防范和非法入侵检测等安全措施,保护业务数据和客户信息,防止信息泄露和毁损。”
就基金公司数据安全而言,业内人士表示,随着金融行业对通讯技术和计算机应用依赖程度不断提高,基金公司越来越关注如何保障其信息系统稳定高效运行。
近年来,基金公司内部的数据安全逐渐被放在了首要位置,包括数据的使用范围、流通范围、复制范围和篡改范围等。
