證監會通函促持牌機構加強網絡防禦　警告AI網絡攻擊威脅急升

香港證監會（SFC）近日向業界發出通函，警告隨人工智能（AI）技術急速發展，由AI模型驅動的新興網絡威脅正急劇升温，對金融市場構成嚴峻挑戰。證監會敦促所有持牌法團、獲發牌的虛擬資產服務提供者（VASP）及其有聯繫實體（統稱「持牌機構」），必須即時檢視並全面升級其網絡安全措施，以應對日益複雜的威脅。 市場觀察發現，AI工具的普及為網絡攻擊者提供了更強大武器，令持牌機構、員工及客户面臨前所未有的營運幹擾風險。根據香港網絡安全事故協調中心的最新數據顯示，本港網絡攻擊事故數目近年錄得顯著增長，凸顯出網絡安全形勢的日益嚴峻。 證監會指出，AI的發展與普及，不僅大幅降低了網絡攻擊的技術門檻及成本，更帶來兩大關鍵轉變。其一是攻擊的複雜度與頻率日增。AI模型已具備自主策劃、跨系統並執行多步驟複雜攻擊的能力。黑客可利用AI快速識別「零日漏洞」，或將多個「風險評級較低」的漏洞串連利用，發動大規模癱瘓。此外，AI亦降低了網絡釣魚、社交工程、深度偽造（Deepfake）假冒身分及偵察的門檻，使攻擊更具針對性及難以防範。 其二是安全應變時間大幅縮短。由於AI能以極快速度發現系統弱點，從漏洞被披露到被黑客利用的時間間隔正急速縮短。傳統「協調、測試、部署」的修補程序已無法追上AI驅動的攻擊速度，這對機構的即時應變能力構成巨大考驗。 證監會中介機構部執行董事葉志衡表示：「網絡安全風險是金融業面對的一大挑戰，亦一直是證監會監察持牌機構的監管重點。隨着前沿AI模型日趨強大且普及，由AI驅動的網絡威脅勢必迅速加劇，並令偵測及遏制這些威脅的工作更為複雜。持牌機構的高級管理層應肩負起首要責任，守護機構網絡韌性及保障客户資產安全。」此番言論強調了高級管理層在網絡安全中的關鍵角色。 為協助持牌機構，尤其是網上經紀行和虛擬資產交易平台，保障客户資產與機密資料，證監會要求機構高級管理層（包括負責資訊科技職能的核心職能主管）負起最終責任，並針對以下五大範疇檢討及加強網絡安全框架： 1. **修補及漏洞管理：** 持牌機構必須建立並每日更新「科技資產清單」（涵蓋硬件、軟件、雲端等）。針對影響業務關鍵組件的已知漏洞，應制訂緊急修正政策，並分配充足資源，以應付可能急增的修補需求。
2. **接達及權限監控（零信任架構）：** 系統設計應基於「任何使用者或裝置均可被入侵」的假設，全面落實最小權限原則。機構應加強防火牆與微網絡分段，以限制橫向移動，並將所有外部輸入視為具對抗性內容，防止其直接更改系統指示。
3. **偵測及監察措施：** 提升收集威脅情報的能力，加強對客户交易活動及系統異常情況的即時監察，確保偵測速率能追上AI驅動的攻擊速度。
4. **第三方供應鏈風險管理：** 完善對第三方服務提供者的初步和持續評估，將最新的AI威脅形勢納入管治框架，確保外判服務不會成為安全破口。
5. **事故應變與迅速復原：** 傳統的事後調查與層報機制已不足以應付AI攻擊。持牌機構應建立預先計劃的控制損毀及阻斷策略（例如迅速封鎖惡意活動、隔離系統），並定期透過桌面演練或模擬攻擊測試應變計劃。同時，必須定期備存業務與客户數據庫，並確保備份副本隨時可用。 此外，證監會亦提醒，持牌機構如在業務運作中採用內部或第三方的AI語言模型，必須警惕對抗性攻擊、數據洩露及提示詞被推翻等額外風險。若擬將AI用於高風險用例，則必須遵守相關的通知規定。 展望未來，證監會將繼續密切監察網絡安全的最新發展，並與業界、主要科技服務提供者及其他監管機構保持緊密溝通。基於風險不斷演變，證監會在適當情況下或會發出進一步指引，進行檢視以評估持牌機構在處理網絡安全事故方面的準備程度及應變能力，或採取監管行動，以確保金融體系的穩健運行。