证交所电脑规划部经理林志清：导入资安认证 提供安全交易

证交所电脑规划部经理林志清

面对网路攻击事件越来越多，证交所电脑规划部经理林志清指出，骇客攻击虽然难以全面消除，但透过建立完善的防护、验证机制，以及提升民众资安意识，将可有效的降低被骇的机会。

林志清表示，证交所内部网路与券商网路有各自的专属系统，系统之间没有介接，且即便在相对安全的环境下，帐号登入也都还是采用OTP认证，透过多重机制避免资料外泄风险。

对于证券商遭骇客撞库攻击，林志清坦言，不是今年才有，之前一直都能适时进行防护，但近期的撞库事件发生特别精准，显示骇客是掌握到民众的个资，尝试登入证券帐户、密码，并下载凭证才能成功登入，建议投资人不要一组密码多重使用。

除了呼吁定期更改密码外，林志清也提出，在帐号登入时系统尚未采用OTP认证时，在变更凭证后应需要24小时才能够生效，让证券商有更充分时间向客户进行确认，防止帐密遭盗用立即被下单的风险。

林志清表示，券商系统若发现使用者ID短期内出现上百次的错误，就要留意是不是有撞库事件发生。就中长期而言，建议在寻找第三方资讯厂商时，一定要要求其具备相关资安认证，例如ISO 27001、ISO 27701、BS 10012等，并把资安规范融入系统中，进一步保障客户个资安全。

为此，证交所也成立证券暨期货市场电脑紧急应变支援小组(SF-CERT)，全天候协助业者因应资安事件，提供券商进行资安演练、研拟产业对应策略等，共同打造更加安全的交易环境。