證券商公會及工商時報共同主辦「保護個資帳密 杜絕投資詐騙」座談會

經濟日報與中華民國證券商業同業公會共同舉辦「全方位資安防護、杜絕詐騙與駭客攻擊」閉門論壇， 與會產官學專家一致認為，第三方資訊業者應比照證券商強化資安及納入監管，投資人亦應致力個資不外洩，「資安防護，人人有責」。

這場閉門論壇由經濟日報總編輯費家琪主持，邀請群益金鼎證券總經理賈中道、元富證券資訊部專案副總經理李俊德、富邦證券資訊暨數據 科學處經理江欣泰、達文西個資暨高科技法律事務所所長葉奇鑫、東吳大學法律系教授王煦棋、證券投資人及期貨交易人保護中心副總經理 林俊宏共同探討第三方資訊業者、民眾如何強化資安等議題。

證券商公會理事長賀鳴珩致詞表示，「資安即國安」，在發生駭客攻擊事件後，主管機關對於資安問題非常關注，在證券商端統計約97%比重 都已完成雙因子認證，將資安等級進一步提升。

客戶端來看，賀鳴珩指出，第一次撞庫事件發生後，證券商二話不說立即賠償，但後來發現部分投資人未落實個資保護，造成自己的帳號、 密碼、憑證外洩，進而引發駭客攻擊證券商資料庫，因此未來如果投資人未能妥善保管個資遭受損失，證券商將不再一味賠償。

他進一步指出，除了積極宣導外，證券商公會發現，在整個全方位資安防護過程當中，第三方資訊業者可能成為破口，並占了很大比例， 未來如何有效規範第三方資訊業者，並建立一個資安標準納入監管，成為當務之急。

賀鳴珩解釋，第三方資訊業者可能在未經證券商同意下，將客戶變成第三方資訊業者會員後，雙方直接往來，後來又出現第三方資訊業者 遭駭客攻擊事件，造成資安破口。證券商公會目前請會員主動告知第三方資訊業者於提供代登入服務或相關服務需取得證券商之同意，臺 灣證券交易所也要求證券商寄存證信函給第三方資訊業者，以維護客戶資訊安全，並將執行結果提報董事會後，報證交所備查。為達到全 方位資安防護，證券商公會希望能對第三方資訊業者建立一套資安管理標準，以免遭遇駭客攻擊時，影響整體證券市場。

賈中道、李俊德、江欣泰等證券商代表均指出，做好資安防護是證券商天職，包括取得ISO27001國際資安認證，及WAF（應用程式防火牆）、 SIEM（安全資訊與資安管理）監控平台等防護機制都有做，但客戶、第三方資訊業者部分出現的破口防不勝防。

長年關注網路犯罪的葉奇鑫說，民眾如果疏於保護個資而外洩，當然要負部分過失責任；對第三方資訊業者而言，證券商可透過契約來約 定，最基本就是瑕疵擔保，特殊要求則包括ISO27001國際資安認證、金融證照、資安證照，甚至要求每季提報告、不定期實地查核、做滲 透性測試等。

王煦棋表示，以前監管都是由上而下，採取自律原則，但隨普惠金融時代到來，思維應該轉為由下而上，教育投資人應該也要自己做好資 安防護，才能讓整體環境有所改善。

林俊宏直言，金融詐騙破案率很低，從法律實務來看，舉證很重要，具體個案事實也很重要，如同交通事故中，一個人超速，一個人沒打 方向燈，雙方都有疏失，提醒投資人為降低資安風險，保護好個資才是上上之策。