新闻首页 > 杂志 > 内文

雷厉要求上市公司加强资安 自己却出大包 骇客入侵 美国证交会不敢说的秘密

钜亨台北资料中心 (来源:财讯双周刊) 2017-10-13  10:28 

美国证交会电脑系统被入侵,数千家上市公司资讯可能遭盗用作为内线交易,

证交会却拖上一年才讲出来,动摇投资人对美股的信心。

文/陈敏静

9 月 20 日深夜,美国证券交易委员会(SEC)发布一份由主席柯雷顿(Jay Clayton) 署名的公开声明,说明该机构的网路安全政策,在密密麻麻的 5 页报告,其中一段简略提到,上市公司用来发布重大讯息的 EDGAR 系统去年曾遭骇客入侵,但已修补漏洞,该机构已配合相关调查等等。

这段含糊其词的文字立即引起全球关注。不只是因为所有的美股投资人惊觉,原来有人可以比他们抢先得知足以影响市场的公开资讯,藉此进行内线交易来牟取不当利润。这整个事件的最大讽刺是,证交会雷厉风行要求上市公司加强资安,但自己却延宕近一年才公开电脑系统遭骇。

一年前遭骇 9 月才公开

EDGAR 系统全名为「电子数据收集、分析及检索系统」,是 5700 家上市公司申报季报、年报等财务报告,以及发布並购、高阶人事异动等重大讯息的管道,相当于台湾证交所公开的资讯观测站。证交会电脑系统被入侵,等於直捣美国金融体系的核心。

一周後,柯雷顿便被找去参议院银行委员会听证会作证。这位 SEC 主席是律师出身,今年 5 月上任,8 月得知此事。这起事件发生在前任主席怀特(Mary Jo White)任内,因此柯雷顿並未受到过多苛责。证交会已展开内部调查,並向国土安全部报告。

根据柯雷顿的说法,去年 10 月 EDGAR 系统遭入侵,同月证交会便发现。今年 8 月,证交会人员研判恶棍交易员可能利用取得的资讯进行不法交易,才向他报告此事。这起事件在内部並未公开,SEC 当时的委员史坦(Kara Stein)及皮沃瓦(Mike Piwowar),也是最近才知道此事,该委员会有些执法人员甚至是看了报纸才知道。但是,柯雷顿並未透露究竟被入侵的案情有多严重,或者多少公司资讯被盗等细节。

柯雷顿在面对国会质询时,表示证交会本身是受害者。但是众议院负责督导证交会的小组委员会主席修曾格(Bill Huizenga)表示,证交会负责保管资讯宝库,这不是没有人受害的犯罪案件,而是影响市场信心的重大事件。

上市企业在 EDGAR 系统申报的资讯全部都会公开,而且大多是上线後立即公布,问题出在所谓的测试系统。有些公司在正式公布前,会先测试发布程序,他们应该用测试用数据,但有些公司傻傻地用真实数据测试,让有心人有机可乘,骇客可能提早数小时或数日取得资讯。

为了让一般民众公平取得资讯,SEC 在 1980 年代开始建立电子申报系统,九四年启用 EDGAR 系统,当时是以磁碟片送交电子档案,直到 2000 年才改采线上报告。

在有电脑系统之前的年代,公司与投资人都要将纸本文件送交 SEC 设在华府的主要办公室。取得文件则更困难,投资人必须花钱请人去取件。除了媒体报道,投资人若没有亲自到 SEC 去查阅,根本无从得知上市企业究竟发布了哪些资讯。

骇客钻漏洞 炒股价套利

近年来证交会斥资数千万美元升级系统,但已有 20 多年历史的 EDGAR 系统仍不时遭到滥用。一四年,学界研究人员发现,对冲基金和其他付费订阅的投资人,可以更快看到该系统的文件(快了约十秒钟),让他们掌握潜在优势。SEC 后来表示已解决这项问题。

这个系统较常发生的问题是有心人士发布假消息,趁机炒作股价。这类小道消息若以电子邮件传送,一定被丢进垃圾桶,但在美国 SEC 网站发布,投资人会信以为真;例如,一五年 5 月 14 日,一名 37 岁的保加利亚男子 Nedko Nedev 呈送一份公开收购雅芳(Avon)的出价提案,促使雅芳股价当日暴涨 20%,主谋落袋 5000 美元,东窗事发後,资产遭到 SEC 冻结。

今年 5 月,SEC 又查获维吉尼亚州一名数学工程师 Robert W. Murray,去年 11 月 10 日先买进智慧手环厂商 Fitbit 的认购期权,随即在 EDGAR 系统发布假报告,说有一家公司要用高价收购 Fitbit 股票,该支个股随即飙涨,该名工程师套利 3100 美元。这些骗子后来都遭到诈欺起诉。 

今年 7 月,美国政府责任署(GAO)发表一份 27 页的报告,细数证交会资讯系统的缺失;报告指出,证交会並未随时将资讯加密,也没有完全落实该机构的资安建议。证交会辩称,有实施其中的一些建议。

根据路透取得的政府内部备忘录,去年的攻击来自东欧一部伺服器,证交会研判没有资料遭窃,便交由他们资讯处内部处理。可是,证交会执法部后来侦测到,一些企业公开资讯前,出现可疑交易的模式,于是询问资讯处是否有公司以真实资料进行测试,才发现情节重大,而向柯雷顿报告。

美国联邦调查局(FBI)和密勤局已对这件入侵案展开调查。消息人士表示,FBI 的调查重点是与入侵案相关的交易活动,並由纽泽西的干员主导,可能是因 FBI 怀疑与他们先前破获的一个骇客集团有关联。

金融机构资安 依旧脆弱

一五年,纽泽西和布鲁克林的联邦检察官,与证交会起诉一个由股票交易员及美国、乌克兰骇客所组成的犯罪集团。他们从 Marketwire、PR Newswire 及 Business Wire 等网站提早取得公司新闻稿,进行内线交易,总计获取高达一亿美元的不法利润。

SEC 先前曾以资安政策不周而向一些券商开罚,如今大水冲倒龙王庙,让柯雷顿威信严扫地,因为他把打击网路犯罪列为任内首要执法议题。这起入侵事件显示,能轻易炒作股票的机密资讯,逐渐成为骇客的目标。

因此,继 EDGAR 被入侵後,现在大家最担心的是证交会正在建立中的综合审计追踪(CAT)系统。 这个庞大计划是为了记录美国股市每一笔交易的即时资讯,研判股市是否遭到操弄及揪出作弊者;但这有很高的资安风险,例如骇客可能破解投资人的交易策略,进行对作来获利。EDGAR 被入侵,证实系统有其脆弱性。

加上前不久,美国消费者信用报告机构 Equifax 才传出被骇客入侵,1 亿 4300 万人、约三分之二的美国民众个人资料外泄,该公司高层主管陆续下台。美国重要金融机构资安纷纷出包,凸显数位时代资安维护不可轻忽。

 

来源:《财讯双周刊》 539 期

更多精彩内容请至 《财讯双周刊》



  • 这篇新闻让您觉得?

 
热门: 鸿海 西班牙 希腊 义大利 欧债 SKYL 东典光电送件上柜 东硷 人民币 日元 可成 台股盘前 台塑 玉晶光 宏碁 长荣 美元
  1. 交易业务衰退 高盛财报仍意外好过预期 盘
  2. 美股盘前 - 高盛、娇生财报佳 带动道琼
  3. 摩根士丹利Q3营收优於预期 盘前上涨逾1%
  4. 作多波动率的交易今年手气不顺 对冲基金仍
  5. 美股好安逸 VIX净空单再创历史新高
    
強勢股 強度 績效% 弱勢股 績效%
常铝股份☆☆☆☆☆197.18龙元建设14.00
国栋建设☆☆☆123.20长安?11.94
四川双马☆☆☆☆88.70延长化建11.76
煌上煌☆☆☆☆87.80宝泰隆10.78
天润控股☆☆☆69.20武汉凡谷10.76

多空趋势 强度 明日转折 支撑压力 财报自动分析