3000亿“券商一哥”APP宕机半小时,深圳证监局出手了
7月13日,深圳证监局发布关于对中信证券(600030,股价20.47元,市值3033.8亿元)股份有限公司采取出具警示函措施的决定。经查,深圳证监局发现中信证券在2023年6月19日的网络安全事件中,存在机房基础设施建设安全性不足,信息系统设备可靠性管理疏漏等问题。深圳证监局决定对中信证券采取出具警示函的行政监管措施。
以下为警示函全文:
中信证券股份有限公司:
经查,我局发现你公司在2023年6月19日的网络安全事件中,存在机房基础设施建设安全性不足,信息系统设备可靠性管理疏漏等问题。上述行为违反了《证券期货业网络和信息安全管理办法》(证监会令第218号,以下简称《网络和信息安全管理办法》)第十三条相关规定。
依据《网络和信息安全管理办法》第六十二条第二款,以及《证券期货业网络安全事件报告与调查处理办法》(证监会公告〔2021〕12号)第二十八条的规定,我局决定对你公司采取出具警示函的行政监管措施。你公司应认真落实网络安全责任制,强化网络和信息安全工作,吸取事件教训,举一反三,彻查风险隐患,对相关问题进行全面整改。你公司应于3个月内完成上述整改工作并向我局报送整改报告。
如对本行政监管措施不服,可在收到本决定书之日起60日内向中国证监会提出行政复议申请,也可在收到本决定书之日起6个月内向有管辖权的人民法院提起诉讼。复议与诉讼期间,上述行政监管措施不停止执行。
中信证券APP崩了,网友:损失谁来承担?
6月19日早间10点左右,有网友发文反映中信证券交易系统的问题:“软件崩了,长达近二十分钟都是已报待撤,急用钱出不来,联系客服还不知道这个事,软件客服直接挂断,损失谁来承担?”之后,有投资者致电中信证券APP人工客服,人工客服表示出现问题的时间为:“10时05分至10时30分,10时30分就恢复正常了。”
据《每日经济新闻》记者了解,有投资者表示,其中信证券的账户在电脑端早盘可以正常交易。因此,出问题的应该只有手机APP端口。
中信证券本次长达半小时的APP宕机,也让不少客户不满。比如,在某股吧中有投资者表示:“我是下单无法撤,看着跌,然后10点半左右一股脑成交了……”
记者注意到,中信证券2022年年报显示,公司首席信息官、信息技术中心行政负责人为方兴。“方兴于2000年加入公司,曾任公司信息技术中心项目主管、总监、执行总经理,中信期货副总经理、总经理等职务。方兴现兼任中信证券华南首席信息官、证通股份董事、中信证券信息与量化服务(深圳)有限责任公司执行董事和法定代表人。”此外,2023年2月24日,公司第八届董事会第三次会议聘任张皓为公司首席风险官,任期至第八届董事会届满为止。
近年来,券商普遍加大信息科技研发投入。2022 年年报显示,华泰证券以 27.2 亿元的 IT 投入大幅领先居于次席的中金公司,后者当年 IT 投入金额为 19.1 亿元。此外,国泰君安、海通证券、招商证券、中信建投等当年 IT 投入均超 10 亿元,分别为 18 亿元、14.8 亿元、14.5 亿元、13.1 亿元、12.3 亿元和 11.5 亿元。不过,作为 " 券业一哥 " 的中信证券并未披露此项数据。
多家券商因为APP宕机受监管处罚
中信证券此事引起了市场热议。此前就有券商因为APP宕机受到监管处罚。
此前,招商证券因交易系统发生故障被证监会出具警示函。2022年3月14日,有投资者在社交媒体上反映招商证券APP宕机,无法正常买入卖出,查询成交时则显示 " 系统错误 ",至当日收盘仍未解决。5月16日,招商证券APP再度宕机,PC 端与移动端均无法登录。同年7月12日,证监会向招商证券出具警示函,要求后者对相关问题进行全面整改,对责任人员进行内部责任追究。
2023年3月21日,有投资者在社交媒体上反映东方财富APP无法登录或无法进行交易操作。有投资者反映称,上午10:30左右东方财富APP恢复使用,能够登录;但午盘再度宕机。
3月31日,东方财富发布公告称,子公司东方财富证券收到西藏证监局下发的行政监管措施决定书《关于对东方财富证券股份有限公司采取责令改正措施的决定》。函件显示,东方财富证券在2023年3月21日的网络安全事件中,存在信息系统升级论证测试不充分、未及时报告网络安全事件的问题。依据相关规定,西藏证监局决定对东方财富证券采取责令改正的监督管理措施。同时,责令东方财富证券对此次事件相关责任人员进行内部责任追究,并妥善处置此次事件引发的投资者诉求。
证监会:故障持续30分钟以上属于重大事件
根据证监会于2021年6月发布的《证券期货业网络安全事件报告与调查处理办法》(下称《处理办法》),结合信息系统类别和信息系统服务能力异常,提出了统一的网络安全事件分级方法,完善了网络安全事件报告流程。根据《处理办法》,当集中竞价交易系统以外的实时交易系统出现严重异常,且故障持续时间30分钟以上的属于重大事件;若故障持续时间 10 分钟以上的属于较大事件。
《处理办法》要求,信息系统发生故障,可能构成网络安全事件的,应当立即报告。可能构成特别重大、重大网络安全事件的,应当每隔30分钟至少上报一次事件处置情况,直至信息系统恢复正常运行;对较大和一般网络安全事件,第一次上报后,无须持续上报事件处置情况;如有重要情况应当立即报告。
此外,2023年6月9日,中证协印发《证券公司网络和信息安全三年提升计划(2023-2025)》(以下简称《安全提升计划》),阐明未来三年全面提升证券公司网络和信息安全的指导思想、基本原则、总体目标、主要任务及实施路径。
《安全提升计划》围绕国家关于网络和信息安全的具体要求,聚焦提升行业科技治理和信息系统架构掌控能力,聚焦防范网络和信息安全风险,明确六类31项主要任务要求,形成32项具体任务清单。