O frequente “tempo de inatividade” na indústria de fundos de valores mobiliários tem despertado a atenção urgente das autoridades reguladoras.
O repórter chinês da empresa de valores mobiliários soube que o Departamento institucional da CSRC emitiu recentemente a notificação sobre supervisão institucional (doravante referida como a “notificação”) a várias empresas de valores mobiliários e sociedades de fundos, informou os recentes incidentes de segurança do sistema de informação na indústria e disse que iria realizar investigações de acordo com a lei e lidar seriamente com instituições relevantes e pessoal responsável.
Ao mesmo tempo, as autoridades reguladoras concentraram-se nos requisitos regulamentares, exortaram todas as sociedades de valores mobiliários e sociedades de fundos a reforçar o controlo interno de conformidade, melhorar a capacidade de garantia de operação e manutenção dos sistemas de informação e respeitar rigorosamente os resultados finais da segurança da informação. E lidar estritamente com isso em avaliação confidencial.
Os participantes do mercado afirmaram que a segurança da informação é muito importante para as instituições de fundos de valores mobiliários.
várias instituições “atingiram o recife” de segurança do sistema de informação, e as autoridades reguladoras rapidamente investigaram
No dia 16 de maio, alguns investidores relataram que China Merchants Securities Co.Ltd(600999) app não pôde fazer login. Naquele dia, China Merchants Securities Co.Ltd(600999) confirmou a falha do sistema de negociação através de microblogging, e disse para voltar ao normal e pedir desculpas. Esta é a segunda vez que China Merchants Securities Co.Ltd(600999) app falhou em quase dois meses.
Dois meses atrás, em 14 de março de 2022, alguns internautas relataram na plataforma social que o sistema de negociação China Merchants Securities Co.Ltd(600999) falhou, incluindo problemas como não conseguir concluir uma transação e não conseguir retirar a transação.
“Isso revela que a gestão de conformidade e controle interno de algumas instituições não está em vigor, e há elos fracos no processo de atualização do sistema.” A circular apontou que China Merchants Securities Co.Ltd(600999) durante o processo de atualização do sistema de fim de semana, os cenários de teste, especialmente o teste de estresse, foram insuficientes, resultando nos dois incidentes de segurança do sistema de informação acima mencionados em sucessão no sistema de negociação. Reflete que o sistema de conformidade e controle interno das instituições envolvidas não é perfeito ou a implementação não está em vigor, o plano especial de implementação não é efetivamente formulado no processo de atualização do sistema, existem lacunas na gestão interna e a operação de mudança e outros comportamentos não são revisados, confirmados e continuamente rastreados.
Olhando para a extensão do tempo, houve muitos incidentes de segurança do sistema de informação em instituições de fundos de valores mobiliários no ano passado. Em 18 de maio de 2021, o programa de oferta da Bolsa de Valores de Xangai de títulos de capital falhou. Após a investigação, a causa do acidente é que os engenheiros do provedor de serviços de software atualizaram o sistema de gerenciamento de ativos implantado no mesmo servidor, e houve um erro lógico no pacote de atualização, Reflecte que as instituições em causa não aplicaram eficazmente os requisitos pertinentes das medidas de gestão das tecnologias da informação aplicáveis às instituições que operam em fundos de valores mobiliários, não dominaram de forma clara, precisa e completa a estrutura técnica, a lógica empresarial e o processo de funcionamento de sistemas de informação importantes e asseguraram que o funcionamento de sistemas de informação importantes está sempre sob o seu próprio controlo. A circular apontou que isso reflete o fraco senso de responsabilidade e o mau desempenho do órgão principal, e a falta de uma compreensão clara, precisa e completa da arquitetura do sistema do software fornecido por fornecedores externos.
vulnerabilidades do sistema de informação da indústria precisam de atenção
tecnologia financeira tornou-se cada vez mais uma das importantes competitividade das empresas de valores mobiliários, e várias instituições têm aumentado o investimento para melhorar a experiência do cliente. No entanto, no ambiente competitivo do mercado, além das lacunas de atualização do sistema acima mencionadas e problemas na arquitetura do sistema de fornecedores externos, existem outras deficiências no sistema de informação da indústria
Primeiro, a operação do pessoal de operação e manutenção não é padronizada o suficiente, e um mecanismo eficaz de gerenciamento e revisão de autoridade não foi estabelecido. Após o penteamento, houve 6 incidentes de segurança do sistema de informação causados pela operação não padronizada do pessoal de operação e manutenção. Reflete que há omissões na concepção do processo, supervisão e inspeção do trabalho de operação e manutenção, conformidade e gerenciamento de riscos não abrangem todos os elos de aplicação de tecnologia da informação, pessoal relevante não segue os procedimentos operacionais padrão no processo de implementação, e sua consciência de segurança e conformidade é fraca.
Em segundo lugar, existem deficiências no desenvolvimento e gerenciamento de aplicativo móvel, que se tornou um campo propenso a incidentes de segurança do sistema de informação. Em 25 de abril de 2022, o National Computer Virus Emergency Response Center informou que 13 aplicativos móveis de empresas de valores mobiliários tinham violações de privacidade e eram suspeitos de coletar informações de privacidade pessoais além do escopo. Após a investigação, as instituições relevantes têm alguns problemas, tais como inspeção frouxa da auditoria on-line de aplicativos móveis, manuseio incompleto de alguns links, como cancelamento, e expressão imprecisa de alguns termos. Reflete o fracasso em investir no desenvolvimento e gestão de aplicações digitais na indústria e, ao mesmo tempo, reflete o fracasso em fazer um bom trabalho no desenvolvimento e gestão de aplicações digitais na indústria.
Terceiro, há lacunas no gerenciamento de segurança e a capacidade de proteção de rede para lidar com ataques de rede externos ou acesso a rastreadores ainda precisa ser melhorada. Em 4 de fevereiro, 14 de fevereiro e 28 de fevereiro de 2022, três empresas gestoras de fundos encontraram sucessivamente incidentes de segurança de rede que o site oficial não pôde ser acessado devido a infecção por vírus ou programa rastreador, refletindo a capacidade insuficiente de proteção de segurança de rede das instituições envolvidas e a falha em estabelecer um sistema de proteção de segurança abrangente e eficaz em termos de controle de acesso, monitoramento e proteção de intrusão, proteção contra vírus e segurança de rede.
cinco aspectos para fortalecer os requisitos regulamentares e fortalecer o controle interno e a gestão de conformidade
circular exige que todas as instituições que operam fundos de valores mobiliários melhorem suas posições políticas, tirem inferências de um caso contra outro, conduzam cuidadosamente auto-exame e retificação, implementem seriamente vários regulamentos, protejam os direitos e interesses legítimos dos investidores e garantam continuamente o funcionamento seguro e estável dos sistemas de informação
Primeiro, atribua grande importância e fortaleça a gestão e melhore efetivamente a capacidade de suporte da operação e manutenção do sistema. Primeiro, a principal responsabilidade da compactação. Vamos melhorar o sistema de gestão de tecnologia da informação e o mecanismo de punição e responsabilização, instar os “líderes de topo” da empresa, diretores de informação e pessoal em posições técnicas-chave para apertar a cadeia de segurança do sistema de informação em todos os momentos, executar seriamente seus deveres e responsabilidades e prestar muita atenção à operação segura da organização. Em segundo lugar, reforçar a gestão da segurança. Melhorar o sistema e as medidas da operação segura interna da empresa, refinar o processo de operação de novos negócios e lançamento de novos produtos envolvendo atualização e transformação do sistema, avaliação de segurança regular, investigação de risco, exercícios de emergência e outros aspectos, e melhorar o mecanismo de revisão e verificação de segurança para garantir que as medidas de gerenciamento de segurança possam ser implementadas, rastreáveis e verificáveis. Terceiro, aumentar o suporte técnico. Combinado com a situação atual de prevenção e controle epidêmico, aumentar o investimento em tecnologia da informação, melhorar a capacidade profissional dos técnicos, manter a estabilidade dos técnicos principais, fazer arranjos de serviço de emergência e garantir efetivamente a operação segura do sistema.
Em segundo lugar, fortalecer o controle interno e a gestão da conformidade, e promover constantemente a atualização e transformação do sistema. Em primeiro lugar, clarifique a divisão das responsabilidades internas. Com base no trabalho relevante liderado pelo departamento de tecnologia da informação, o risco de segurança da informação será incorporado no sistema abrangente de gestão de riscos, desempenhará o papel de controle da conformidade, controle de riscos e outros departamentos sobre risco de segurança da informação e formará um mecanismo de trabalho de supervisão e restrição mútuas. Em segundo lugar, formular um plano de implementação especial, verificar totalmente o design do processo, definição de funções, configuração de parâmetros e outros conteúdos relacionados, e realizar prudentemente a atualização de sistemas de informação importantes envolvendo links de negócios principais, como transações.
Em terceiro lugar, melhorar o trabalho de teste do sistema, construir um ambiente de teste especial independente do ambiente de produção, enriquecer os cenários de teste após a atualização e mudança do sistema e fortalecer os testes de estresse.
Terceiro, realize regularmente a avaliação da robustez do sistema para eliminar riscos potenciais a tempo. Primeiro, identificar de forma abrangente e precisa vários riscos técnicos no processo de transformação digital e garantir que a conformidade e o gerenciamento de riscos cubram todos os links de aplicação de tecnologia da informação. Em segundo lugar, estabelecer e melhorar o mecanismo de monitoramento da segurança do sistema de informação, definir indicadores de monitoramento e monitorar continuamente o funcionamento de sistemas de informação importantes. Terceiro, realizar regularmente auditorias especiais sobre gerenciamento de tecnologia da informação, investigar profundamente problemas de arquitetura do sistema de informação e potenciais riscos técnicos e retificá-los em tempo hábil de acordo com a investigação de auditoria.
Em quarto lugar, implementar rigorosamente os requisitos de proteção de informações do cliente e salvaguardar seriamente os direitos e interesses legítimos dos investidores. Primeiro, melhorar as medidas técnicas de segurança, incluindo, mas não limitado a, isolamento de rede, autenticação de usuários, controle de acesso, criptografia de dados, backup de dados, destruição de dados, prevenção de vírus e monitoramento de intrusão ilegal, de modo a proteger a segurança dos dados e evitar vazamentos e danos de informações. Em segundo lugar, fortalecer a gestão da gestão do sistema de informação, operação e direitos de acesso para garantir que os direitos do usuário correspondam às responsabilidades de trabalho. Em terceiro lugar, implementar os requisitos das leis e regulamentos relevantes, fortalecer a gestão do aplicativo móvel, melhorar o mecanismo de auditoria e detecção antes da liberação e supervisionar continuamente o desempenho de acordos de confidencialidade de instituições externas, como instituições de serviços de tecnologia da informação, de modo a evitar o vazamento de informações do investidor devido à gestão inadequada de instituições cooperativas.
Em quinto lugar, reforçar a gestão de capacidades e o reforço da capacidade de recuperação de catástrofes e melhorar a capacidade de resposta a emergências. Primeiro, implementar os requisitos de gerenciamento de capacidade do sistema e construção de capacidade de backup e realizar regularmente testes de estresse em sistemas de informação importantes em combinação com a estratégia de desenvolvimento da empresa, escala de negócios e outros fatores para garantir que sua capacidade atenda às necessidades de desenvolvimento de negócios. Em segundo lugar, formular e melhorar continuamente o plano de emergência e organizar regularmente o pessoal em posições-chave para realizar exercícios de emergência de acordo com o plano de emergência. Em terceiro lugar, enriquecer as cenas de resposta de emergência, fortalecer o “desempenho real e prática”, regularmente resolver e resumir os problemas encontrados na broca e melhorar o mecanismo de resposta de emergência.
impor “dupla punição” às instituições e diretores com problemas
Nos últimos anos, os reguladores atribuíram grande importância à segurança de rede da indústria de valores mobiliários e futuros, e os documentos relevantes sobre a segurança de rede da indústria de valores mobiliários e futuros foram emitidos um após o outro. Ao mesmo tempo, as empresas de valores mobiliários também estão aumentando o investimento em tecnologia da informação. Desde 2017, o investimento cumulativo em tecnologia da informação na indústria de valores mobiliários ultrapassou 110 bilhões de yuans, mas a transformação digital da indústria de valores mobiliários tem um longo caminho a percorrer.
Os frequentes eventos de “inatividade” das empresas de valores mobiliários refletem que ainda há muito espaço para melhorias na estabilidade do sistema de negociação. Deng Zhidong, diretor do fórum de cem pessoas CFO da China, acredita que algumas das arquiteturas básicas do sistema construídas por empresas de valores mobiliários na fase inicial não podem acompanhar as necessidades do desenvolvimento de negócios de hoje.
De acordo com a regulamentação sobre Supervisão Classificada de sociedades de valores mobiliários emitidas pela CSRC, a gestão da tecnologia da informação é um dos seis indicadores de avaliação, que afetará o ranking abrangente das sociedades de valores mobiliários. Além disso, está claramente declarado nos regulamentos de supervisão classificada que, se uma sociedade de valores mobiliários for ordenada a fazer correções e aumentar o número de inspeções internas de conformidade, será deduzido 1 ponto de cada vez.
O CSRC disse que, na próxima etapa, o departamento institucional continuará a fortalecer a supervisão e inspeção do controle interno de conformidade e gestão de tecnologia da informação das instituições operadoras de fundos de valores mobiliários de acordo com o princípio de “supervisão penetrante e prestação de contas em cadeia completa”, implementar “penalidades duplas” para instituições problemáticas e pessoal responsável, e lidar estritamente com eles na avaliação classificada. Ao mesmo tempo, acompanhe e estude de perto as novas situações e problemas no processo de profunda integração de negócios e tecnologia na indústria sob o pano de fundo da transformação digital e melhore continuamente os requisitos regulamentares relevantes
relatórios relacionados
A CSRC emitiu outro edital regulatório, apontando diretamente para as deficiências do desenvolvimento de aplicativos e gestão de duas empresas de valores mobiliários, e os sites oficiais de três fundos foram infectados com vírus, reiterando cinco requisitos regulatórios
