FMA发布有关NZX技术问题的评论

新西兰金融市场管理局(FMA)今日公布的对新西兰证券交易所（NZX）的审查结果，发现由于技术资源不足，该证券交易所未能履行其特许市场运营商的义务。

作为持牌市场运营商，NZX必须履行《金融市场行为法》（FMC Act）规定的某些义务。其中一项义务是拥有足够的技术资源，以妥善运营其持牌市场，包括确保市场披露的安排。

审查范围--到2020年的一系列问题

在2020年4月NZX遭遇交易量相关的系统问题和中断后，FMA开始对其技术进行有针对性的审查。在2020年8月NZX遭受DDoS（分布式拒绝服务）攻击后，审查范围有所扩大。

FMA还关注到NZX的交易系统无法以零收益率或负收益率交易证券。与交易量相关的问题和DDoS事件一再使市场活动停止或中断。

报告的主要发现

总的来说，FMA的审查发现，NZX在人员、程序和平台方面没有足够的技术能力来履行市场经营者的义务，特别是在其系统重要性方面。此外，NZX系统的性能不符合监管要求或对公平、有序和透明市场的期望。

关于NZX的交易量相关问题，FMA的审查结论是，基本工具和做法要么缺乏，要么不够健全，要么没有得到充分利用。NZX意识到其核心后端处理系统的容量限制，特别是在过去三年中日交易量增加的情况下。

FMA首席执行官Rob Everett表示，市场参与者给出的反馈是，NZX不接受对已知系统性问题的责任，而且行动缓慢。“市场参与者的反馈反映了我们自己的观察，也是NZX董事会和高管需要解决的主要问题。未能适当考虑交易所运营的更广泛的生态系统，以及未能充分参与行业反馈和关注，是导致交易量相关问题的因素。”

关于DDoS攻击，FMA审查发现NZX的危机管理规划和程序是基本的。FMA审查发现，DDoS攻击是可以预见的，而足以瘫痪服务器--以及连带着NZX的市场公告平台--的攻击至少是可能的，并且应该有计划的。NZX对其IT安全状况的自我评价为基本成熟度，表明其没有采用一些最佳做法。

需要采取的行动

要求NZX制定一项正式的行动计划，以解决FMA提出的问题。市场监管机构已与NZX董事会会面，讨论其调查结果，并得到保证，NZX董事会负责进行必要的投资，并解决报告中强调的问题。

Everett先生表示：“我们相信NZX理解我们的担忧。我们期待着最终确定NZX的行动计划，并在未来几个月内监测其进展。”

对违反NZX法定义务的制裁是有限的。然而，鉴于从NZX收到的承诺，以及NZX在内部和外部审查后已经启动的行动计划，FMA认为要求NZX制定详细的、有时限的行动计划就足够了。金融管理局承认NZX已经采取了重大步骤来改进其系统和程序。

FMA将就行动计划与NZX密切接触，并继续加强对NZX技术的监督，直到监管机构确信所有问题都已得到解决。

FMA将在2021年6月发布的年度NZX义务审查中公开报告NZX的进展情况。

网络安全弹性对新西兰金融服务行业至关重要

FMA在评论网络安全攻击时表示，这种威胁正在迅速增长，攻击变得更加普遍，所有组织都难以抵御。

报告称：“所有实体，无论是私人还是公共机构，都面临着这种威胁，需要迅速发展以应对这种威胁。变化的步伐是这样的，停滞不前或耐心地规划未来会暴露组织和他们所掌握的信息。对于提供关键基础设施的实体来说，攻击对其客户、供应商或市场的影响可能是巨大的。这对我们所有人来说都是一个重大的挑战，并且已经迅速上升到许多组织的风险识别和危机规划的首位。NZX在这两方面都很努力，但未能对不断变化的威胁做出足够迅速的反应，也未能为未能抵御这些威胁做出计划。”