A maior empresa de valores mobiliários em Shenzhen China Merchants Securities Co.Ltd(600999) tem duas falhas consecutivas do sistema de negociação, o que atraiu grande atenção dentro e fora da indústria. No ano passado, muitos incidentes de segurança de sistemas de informação ocorreram em empresas de valores mobiliários e empresas de fundos. Entende-se que as autoridades reguladoras emitiram recentemente uma circular sobre supervisão institucional, que notificou especialmente os casos de incidentes relevantes de segurança do sistema de informação.
Na notificação, o regulador analisou as razões para muitos incidentes de segurança do sistema de informação em instituições de fundos de valores mobiliários a partir dos aspectos da gestão do controle interno da empresa, domínio da arquitetura do sistema, pessoal de operação e manutenção, desenvolvimento e gerenciamento de aplicativos móveis, etc. Ao mesmo tempo, a supervisão define cinco requisitos para garantir continuamente o funcionamento seguro e estável do sistema de informação.
A indústria disse que, a fim de evitar perigos ocultos relevantes, as instituições operacionais de fundos de valores mobiliários devem estabelecer um sistema de monitoramento perfeito, evitar riscos de operação humana na maior extensão, concentrar-se em melhorar a capacidade de resposta a emergências e manter a segurança e estabilidade do sistema de negociação.
incidentes de segurança do sistema de informação ocorrem frequentemente
Recentemente, alguns investidores relataram na Internet que China Merchants Securities Co.Ltd(600999) pc e sistemas de aplicativos não puderam fazer login, resultando na falha da negociação normal.
Coincidentemente, no mesmo dia, Huaxi Securities Co.Ltd(002926) sistema de negociação também falhou durante a negociação inicial, resultando em falha na negociação. Embora a situação relevante tenha sido resolvida antes do fechamento da negociação matinal, muitos investidores francamente disseram que causaram perdas econômicas devido ao desligamento do sistema de negociação.
Esta não é a primeira vez que o sistema é anormal, e o último problema ocorreu em 14 de março deste ano, apenas dois meses depois de hoje.
Anteriormente, o sistema de negociação China Merchants Securities Co.Ltd(600999) tinha falhas no sistema, tais como “a página da transação não pode ser fechada e não pode ser retirada” em 14 de março.
China Merchants Securities Co.Ltd(600999) respondeu que “todas as ordens de negociação no sistema de negociação centralizado foram transmitidas para o sistema de câmbio em tempo real, mas devido ao atraso no processamento do retorno da transação, alguns clientes não receberam as informações de retorno da transação a tempo no cliente, e a transação de cancelamento foi afetada.”
O tempo de inatividade duas vezes em dois meses é extremamente raro para China Merchants Securities Co.Ltd(600999) uma empresa de títulos de nível 100 bilhões. A este respeito, em 2 de abril, o Shenzhen Securities Regulatory Bureau anunciou que China Merchants Securities Co.Ltd(600999) teve alguns problemas no incidente de segurança de rede em 14 de março, como gerenciamento de mudanças imperfeito, disposição de emergência prematura e inadequada, por isso decidiu tomar medidas corretivas.
Shenzhen Securities Regulatory Bureau sublinhou que o trabalho de retificação acima deve ser concluído dentro de três meses e enviar o relatório de retificação para Shenzhen Securities Regulatory Bureau. No entanto, o que não era esperado naquela época era que o período de retificação de três meses ainda não tinha chegado, e o sistema China Merchants Securities Co.Ltd(600999) estava anormal novamente.
Além disso, o sistema de negociação de Guosen Securities Co.Ltd(002736) também falhou em 15 de março. Naquela época, alguns investidores relataram que o mercado de Guosen Securities Co.Ltd(002736) software de negociação não podia ser atualizado, e era impossível assistir e negociar.
Vale ressaltar que falhas similares de sistemas de informação e incidentes de segurança não ocorrem apenas nas empresas de valores mobiliários. Em 4 de fevereiro, 14 de fevereiro e 28 de fevereiro de 2022, três empresas gestoras de fundos encontraram sucessivamente incidentes de segurança de rede que tornaram o site oficial inacessível devido à infecção por vírus ou rastreadores.
evento de segurança do sistema de informação Jianzhi
A supervisão revela cinco razões
O repórter aprendeu que, tendo em vista os frequentes eventos de falha do sistema de negociação, o departamento de supervisão de instituições de fundos de valores mobiliários relatou especialmente os casos relevantes de eventos de segurança do sistema de informação na nova emissão de aviso de supervisão institucional, que pode ser usado para referência por toda a indústria.
A circular apontou que recentemente, incidentes de segurança do sistema de informação ocorreram em muitas instituições operacionais de fundos de valores mobiliários, especialmente incidentes semelhantes ocorreram continuamente em China Merchants Securities Co.Ltd(600999) um curto período de tempo, o que afetou a negociação normal dos investidores e teve um impacto negativo na reputação da indústria. As autoridades reguladoras realizarão investigações de acordo com a lei e lidarão seriamente com instituições relevantes e pessoal responsável.
Para os principais tipos de eventos e os problemas refletidos, as autoridades reguladoras fizeram uma análise específica a partir de cinco aspectos. Primeiro, a gestão do controle interno de conformidade de empresas individuais não está em vigor, e há elos fracos no processo de atualização do sistema.
Tomando China Merchants Securities Co.Ltd(600999) como exemplo, a circular apontou que em 14 de março e 16 de maio de 2022, China Merchants Securities Co.Ltd(600999) durante a atualização do sistema de fim de semana, os cenários de teste, especialmente o teste de estresse, foram insuficientes, resultando em dois incidentes consecutivos de segurança do sistema de informação no sistema de negociação. Reflecte que o sistema de conformidade e de controlo interno das instituições em causa não é perfeito ou não está implementado.
Em segundo lugar, a principal consciência de responsabilidade não é forte, o desempenho não é forte e a arquitetura do sistema do software fornecido por fornecedores externos não é clara, precisa e completa.
Por exemplo, o procedimento de oferta de títulos de capital na bolsa de Xangai falhou em 18 de maio do ano passado. Após investigação, a causa do acidente foi que o engenheiro do provedor de serviços de software teve um erro lógico no pacote de atualização ao atualizar o sistema de gerenciamento de ativos implantado no mesmo servidor, refletindo que as instituições relevantes não implementaram efetivamente os requisitos das medidas relevantes.
Terceiro, a operação do pessoal de operação e manutenção não é padronizada o suficiente, e um mecanismo eficaz de gerenciamento e revisão de autoridade não foi estabelecido. Após o penteamento, houve 6 incidentes de segurança do sistema de informação causados pela operação não padronizada do pessoal de operação e manutenção. Reflete que existem omissões na concepção do processo, supervisão e inspeção dos trabalhos de operação e manutenção.
Em quarto lugar, há deficiências no desenvolvimento e gerenciamento de aplicativo móvel, que se tornou um campo propenso a incidentes de segurança do sistema de informação. Em 25 de abril de 2022, o National Computer Virus Emergency Response Center informou que 13 aplicativos móveis de empresas de valores mobiliários tinham violações de privacidade e eram suspeitos de coletar informações de privacidade pessoais além do escopo. Isso reflete que, ao realizar a transformação digital e aumentar o investimento no desenvolvimento de aplicativos móveis, algumas instituições do setor não conseguiram fazer o trabalho de gerenciamento de segurança correspondente ao mesmo tempo.
Em quinto lugar, há lacunas no gerenciamento de segurança e a capacidade de proteção de rede para lidar com ataques de rede externos ou acesso a rastreadores ainda precisa ser melhorada.
Por exemplo, de acordo com a supervisão, três empresas de fundos sofreram sucessivamente incidentes de segurança da rede no ano passado, refletindo a capacidade insuficiente de proteção da segurança da rede das instituições em causa, e não conseguiram estabelecer um sistema de proteção de segurança abrangente e eficaz em termos de controle de acesso, monitoramento e proteção de intrusões, proteção contra vírus, segurança da rede, etc.
supervisão lista cinco requisitos
reforçar continuamente a gestão e supervisão da tecnologia da informação
Na notificação, as autoridades reguladoras também estabeleceram os requisitos. A circular apontou que 2022 é o ano da vitória do 20º Congresso Nacional do CPC e o ano chave para aprofundar de forma abrangente a reforma do mercado de capitais. Por favor, consulte os problemas acima mencionados, tire conclusões de uma instância, conduza cuidadosamente o auto-exame e retificação, salvaguardar os direitos e interesses legítimos dos investidores e continuar a garantir o funcionamento seguro e estável do sistema de informação.
Primeiro, atribua grande importância e fortaleça a gestão para melhorar efetivamente a capacidade de suporte de operação e manutenção do sistema. Primeiro, a principal responsabilidade da compactação. Vamos melhorar o sistema de gestão de tecnologia da informação e o mecanismo de punição e responsabilização, instar os “líderes de topo” da empresa, diretores de informação e pessoal em posições técnicas-chave para apertar a cadeia de segurança do sistema de informação em todos os momentos, executar seriamente seus deveres e responsabilidades e prestar muita atenção à operação segura da organização.
Em segundo lugar, reforçar a gestão da segurança. Terceiro, aumentar o suporte técnico. Combinado com a situação atual de prevenção e controle epidêmico, aumentar o investimento em tecnologia da informação, melhorar a capacidade profissional dos técnicos, manter a estabilidade dos técnicos principais e fazer arranjos de serviço de emergência.
Em segundo lugar, fortalecer o controle interno e a gestão da conformidade, e promover constantemente a atualização e transformação do sistema. Em primeiro lugar, clarifique a divisão das responsabilidades internas. Em segundo lugar, formular um plano de implementação especial, verificar totalmente o design do processo, definição de funções, configuração de parâmetros e outros conteúdos relacionados, e realizar prudentemente a atualização de sistemas de informação importantes envolvendo links de negócios principais, como transações. Em terceiro lugar, melhorar o sistema
Trabalho de teste e reforço do teste de esforço.
Terceiro, realize regularmente a avaliação da robustez do sistema para eliminar riscos potenciais a tempo. Primeiro, identificar de forma abrangente e precisa vários riscos técnicos no processo de transformação digital e garantir que a conformidade e o gerenciamento de riscos cubram todos os links de aplicação de tecnologia da informação.
Em segundo lugar, estabelecer e melhorar o mecanismo de monitoramento da segurança do sistema de informação. Terceiro, realizar regularmente auditorias especiais sobre a gestão das tecnologias da informação, investigar profundamente os problemas da arquitetura do sistema de informação e potenciais riscos técnicos e corrigi-los a tempo.
Em quarto lugar, implementar rigorosamente os requisitos de proteção de informações do cliente e salvaguardar seriamente os direitos e interesses legítimos dos investidores. O primeiro é melhorar as medidas técnicas de segurança, o segundo é fortalecer a gestão do sistema de informação e o terceiro é implementar os requisitos das leis e regulamentos relevantes e fortalecer a gestão do aplicativo móvel.
Em quinto lugar, fortalecer a gestão da capacidade e a construção da capacidade de recuperação de desastres e melhorar a capacidade de tratamento de emergências. Primeiro, implementar os requisitos de gerenciamento de capacidade do sistema e construção de capacidade de backup e realizar regularmente testes de estresse em sistemas de informação importantes em combinação com a estratégia de desenvolvimento da empresa, escala de negócios e outros fatores para garantir que sua capacidade atenda às necessidades de desenvolvimento de negócios. O segundo é formular e melhorar continuamente o plano de emergência e o terceiro é enriquecer os cenários de descarte de emergência.
Na próxima etapa, o departamento institucional continuará a fortalecer a supervisão e inspeção de conformidade controle interno e gestão de tecnologia da informação das instituições operadoras de fundos de valores mobiliários de acordo com o princípio de “supervisão penetrante e prestação de contas em cadeia completa”, implementar “punição dupla” para instituições problemáticas e pessoal responsável, e lidar estritamente com eles na avaliação classificada.
construção do sistema para garantir a segurança do sistema de informação
Na verdade, a indústria de fundos de valores mobiliários já entrou na fase de construção de informações e desenvolvimento síncrono de negócios, e o funcionamento normal das instituições tem sido inseparável do suporte de ativos de dados, incluindo informações de clientes, dados de transações e todos os tipos de dados importantes.
Desde 2017, a indústria de valores mobiliários investiu mais de 110 bilhões de yuans em tecnologia da informação, mas a transformação digital da indústria de valores mobiliários tem um longo caminho a percorrer.
A pessoa responsável pelos negócios relevantes da Hengtai Securities acredita que o caminho e o método de jogo da transformação digital nesta fase são relativamente claros, mas no processo de transformação, problemas relacionados à cultura corporativa existente, plataforma tecnológica, estrutura organizacional e input-output serão encontrados mais ou menos.
De cima para baixo, precisamos manter a concentração estratégica para garantir a implementação da estratégia digital; De baixo para cima, devemos escolher o caminho de implementação alinhado com a própria dotação da empresa, fazer o que fazemos primeiro e depois fazer o que fazemos, fazer mais e fazer menos, em vez de imitar cegamente a indústria, de modo a sair de um caminho bem sucedido de transformação digital.
A pessoa relevante responsável pela sede da Tecnologia Financeira de Valores Mobiliários de Xangai acredita que a transformação digital não é simplesmente construir sistemas, plataformas e dados de aterrissagem, mas envolve mudanças globais na filosofia, cultura, organização, formato de negócios, gestão e processo da empresa. Explorar e abrir ativamente a cadeia ecológica interna e integrar-se ao ecossistema externo para remodelar digitalmente processos de negócios e modelos de negócios. Para atingir os objetivos acima, ainda enfrentamos quatro dificuldades: a dificuldade de corresponder aos objetivos de transformação do sistema e mecanismo, a relativa falta de investimento em recursos, a falta de nível de governança de dados e qualidade dos dados e a escassez de talentos compostos.
Em 152 de junho de 2018, a Comissão Reguladora de Valores Mobiliários da China emitiu as medidas de gerenciamento de tecnologia da informação para empresas de valores mobiliários, o que é de grande importância para a gestão de tecnologia da informação da indústria de valores mobiliários.
As medidas de gerenciamento enfatizam a necessidade de governança de dados, têm requisitos claros para as responsabilidades de gerenciamento de segurança de dados e indicam que a organização precisa melhorar o sistema de rede, proteger a segurança dos dados de negócios e informações do cliente e evitar vazamento de dados.
As medidas de gerenciamento de tecnologia da informação da CSRC para instituições operacionais de fundos de valores mobiliários também propuseram claramente que “as instituições operacionais de fundos de valores mobiliários devem melhorar as medidas de segurança, tais como isolamento de rede, autenticação de usuários, controle de acesso, criptografia de dados, backup de dados, destruição de dados, registro de log, prevenção de vírus e detecção de intrusão ilegal, de modo a proteger a segurança dos dados operacionais e informações do cliente e evitar vazamentos e danos de informações”.
Quanto à segurança de dados das empresas de fundos, a indústria disse que, com a crescente dependência do setor financeiro da tecnologia de comunicação e aplicativos de computador, os departamentos do fundo têm atraído crescente atenção em como garantir o funcionamento estável e eficiente dos sistemas de informação.
Nos últimos anos, a segurança de dados em empresas de fundos foi gradualmente colocada em primeiro lugar, incluindo o escopo de uso, circulação, replicação e adulteração de dados.
