證監會促持牌機構防範AI驅動新興網絡威脅

證監會發出通函，要求持牌機構加強網絡安全措施，以應對由前沿人工智能(AI)模型驅動的新興威脅。

隨着本港以至全球各地的網絡攻擊持續演變，由AI驅動的網絡威脅備受關注。值得留意的是，去年香港的整體網絡攻擊事故數目錄得雙位數增長。有鑑於此，證監會在通函中告誡持牌機構，由於前沿AI模型急速演進，可能使網絡攻擊更頻密、更具針對性及更精密複雜，從而可能導致持牌機構、其員工及客戶面臨重大營運干擾及風險。

證監會亦注意到，AI的新近發展令惡意者更易更快地識別並利用系統漏洞，協調跨越多個互聯系統的攻擊，以及策動大規模攻擊。與此同時，AI驅動工具的日趨普及，降低了惡意者進行網絡釣魚、社交工程、深度偽造假冒他人身份及偵察的門檻。因此，持牌機構面對的網絡安全風險日漸升溫。

在今天發出的通函中，證監會敦促持牌機構(尤其是網上經紀行和虛擬資產交易平台)實施穩健的措施並適時作出更新，以保護其系統，防止客戶機密資料遭到未經授權的接達或披露，以及保障客戶資產免被挪用。

此外，證監會列出持牌機構的網絡安全框架內應予檢討及加強的範疇，以確保其適時更新並有效運作。這些範疇包括修補及漏洞管理、偵測及監察措施，以及事故應變及復原。

證監會中介機構部執行董事葉志衡表示，隨着前沿AI模型日趨強大且普及，由AI驅動的網絡威脅勢必迅速加劇，並令偵測及遏制這些威脅的工作更為複雜。持牌機構的高級管理層應肩負起首要責任，守護機構網絡韌性及保障客戶資產安全。