6月2日,香港证监会发出通函,要求持牌机构加强网络安全措施,以应对由前沿人工智能(简称AI)模型驱动的新兴威胁。
香港证监会指,随着香港以至全球各地的网络攻击持续演变,由AI驱动的网络威胁备受关注。值得留意的是,去年香港的整体网络攻击事故数目录得双位数增长。有鉴于此,香港证监会在通函中告诫持牌机构,由于前沿AI模型急速演进,可能使网络攻击更频密、更具针对性及更精密复杂,从而可能导致持牌机构、其员工及客户面临重大营运干扰及风险。
证监会亦注意到,AI的新近发展令恶意者更易更快地识别并利用系统漏洞,协调跨越多个互联系统的攻击,以及策动大规模攻击。与此同时,AI驱动工具的日趋普及,降低了恶意者进行网络钓鱼、社交工程、深度伪造假冒他人身份及侦察的门槛。因此,持牌机构面对的网络安全风险日渐升温。
在发出的通函中,香港证监会敦促持牌机构(尤其是网上经纪行和虚拟资产交易平台)实施稳健的措施并适时作出更新,以保护其系统,防止客户机密资料遭到未经授权的接达或披露,以及保障客户资产免被挪用。
此外,香港证监会列出持牌机构的网络安全框架内应予检讨及加强的范畴,以确保其适时更新并有效运作。这些范畴包括修补及漏洞管理、侦测及监察措施,以及事故应变及复原。
香港证监会中介机构部执行董事叶志衡博士表示:“网络安全风险是金融业面对的一大挑战,亦一直是证监会监察持牌机构的监管重点。随着前沿AI模型日趋强大且普及,由AI驱动的网络威胁势必迅速加剧,并令侦测及遏制这些威胁的工作更为复杂。持牌机构的高级管理层应肩负起首要责任,守护机构网络韧性及保障客户资产安全。”
