78%交易所隨時當黑

國際證券監察會組織(IOSCO)與世界證券交易所聯合會(WOF)一項調查顯示,全球四十六間證券交易所中,過去一年超過五成曾遭受網絡攻擊。不過,調查顯示七成八交易所沒有購買網絡犯罪保險,意味若遇上重大網絡攻擊,並且造成實質損失,交易所要自行承擔。

一一年八月期間,港交所(00388)「披露易」網站遭黑客入侵,導致多家公司及大量相關衍生工具需停牌半日,市場愈益關注交易所網絡安全問題。

倘若出事 風險全承擔

IOSCO與WOF進行調查,訪問全球四十六間交易所,當中五成三表示,過去一年曾遭網絡襲擊,最常見是阻斷服務攻擊,即入侵者試圖透過大量請求,佔用其網絡資源,藉此癱瘓網絡及系統服務,其餘則包括病毒攻擊。

報告又提及,雖然全部受訪交易所表示,設有針對網絡攻擊的防禦措施,一般而言,有關攻擊會立即被發現,但有20%受訪交易所承認,其防禦措施難承受有系統的大規模網絡襲擊,更驚人是只有兩成二受訪交易所有購買網絡犯罪保險或類似產品。

報告引述市場研究顯示,網絡犯罪造成的損失,金額或高達3,880億至1萬億美元,由於近八成受訪交易所沒有購買網絡犯罪保險,意味若遇重大網絡攻擊事故,並且造成實質損失,有關交易所可能要自行承擔風險。

港交所認遇襲 頂得住

儘管報告沒有提及過去一年受到網絡攻擊交易所名單,但相信包括本港交易所。港交所發言人接受本報查詢時證實,自一一年「披露易」網站受干擾後,有零星及沒有組織的疑似黑客干擾,但均被交易所的保安與防禦措施應付,並沒有對交易所系統與運作造成影響。

發言人稱,港交所擁有嚴謹的網絡保安措施,同時會不時諮詢資訊科技顧問,更新保安與防禦措施。

至於有否購買網絡犯罪保險,有關方面沒直接回應,只稱交易所資源主要投放在人手與科技上,加強措施的預防性。

業界估港交所有投保

不過,立法會保險界議員陳健波透露,一般金融機構如銀行及港交所,均有投保類似保單。

資訊科技界議員莫乃光指,交易所牽涉龐大利益,遭黑客看上不足為奇,情況如搶劫銀行,但一一年港交所「披露易」網站遭黑客攻擊,難查證是否有人從中獲利。

他稱,一般而言,大型交易所對交易系統作較完善保護,黑客難透過互聯網直接進入系統,而一一年港交所只是「披露易」受襲,並非交易系統。

莫乃光指,因受襲機構對服務阻斷攻擊的應對方法較被動,只能將服務轉移至系統不受影響的地方繼續運作,「若果打(攻擊)得勁都無計!」

近年金融機構頻受網絡襲擊

日期:10 / 2012

受襲目標:美國第一資本投資、BB&T

事件:連續兩日遭黑客襲擊,未能提供網站訊息

日期:3 / 2012

受襲目標:香港金銀業貿易場

事件:連日遭黑客透過垃圾電郵有組織地攻擊網站及電腦系統

日期:10 / 2011

受襲目標:紐約交易所

事件:「佔領華爾街」期間,遭黑客襲擊而一度停止運作

日期:8 / 2011

受襲目標:香港交易所

事件:「披露易」網站遭黑客攻擊,七家上市公司及逾四百隻窩輪與牛熊證停牌半日

日期:2 / 2011

受襲目標:英美交易所

事件:疑發現黑客企圖發動襲擊來破壞全球主要金融市場運作

日期:1 / 2011

受襲目標:歐盟碳排額交易系統

事件:遭黑客入侵及被盜走總值約700萬歐元碳排額

常見網絡攻擊種類

主動攻擊:入侵者針對檔案或通訊內容進行偽造或修改,常見方法包括偽裝、重播、訊息竄改、服務阻斷

被動攻擊:入侵者非法取得資訊資產的存取權限,但並未對其內容作修改,常見方法包括竊聽及通訊分析