Комиссия по ценным бумагам и фьючерсам Гонконга приказала лицензированным платформам виртуальных активов и интернет-брокерам отказаться от одноразовых паролей для входа клиентов и регистрации устройств в течение 12 месяцев. Эта мера принята в связи с ростом числа атак с подделкой, которые в 2025 году составляли 57% всех зарегистрированных инцидентов безопасности, согласно данным Центра координации кибербезопасных инцидентов Гонконга. Регулятор отметил, что аутентификация на основе OTP уже недостаточна для защиты от фишинга, impersonation и мошеннических операций, при которых злоумышленники обманывают пользователей, заставляя их передавать коды входа, что позволяет им получить доступ к аккаунтам, регистрировать новые устройства, совершать сделки или пытаться вывести средства до обнаружения взлома.
SFC требует использования Passkeys и привязки устройств для аутентификации
Циркуляр предписывает компаниям прекратить использование OTP для входа клиентов и привязки устройств и перейти к более надежным методам аутентификации, таким как passkeys и привязка устройств. Регулятор заявил, что внедрение должно осуществляться «как можно скорее», с окончательным сроком в 12 месяцев с даты выпуска циркуляра. Крупным интернет-брокерам было поручено немедленно внедрить новые методы аутентификации. Passkeys снижают зависимость от кодов, которые могут быть украдены через фишинговые страницы, а привязка устройств связывает доступ к аккаунту с доверенными устройствами и усложняет несанкционированные попытки входа.
Лицензированные компании должны усилить контроль и информировать клиентов
Лицензированные фирмы обязаны усилить системы мониторинга для выявления подозрительной активности при входе, торговле и выводе средств. Это включает отслеживание необычных шаблонов доступа, активности новых устройств, аномального поведения при размещении ордеров и запросов на вывод, что может свидетельствовать о взломе аккаунта. Регулятор также требует своевременно уведомлять клиентов о значимых операциях и быстро реагировать на случаи взлома. Обучение клиентов входит в обязательства, компании должны регулярно предупреждать пользователей о мошенничестве с impersonation, фишинговых атаках и новых киберрисках.
Д-р Ип Чи-ханг, исполнительный директор Intermediaries Division SFC, заявил: «Для защиты аккаунтов клиентов от все более изощренных и разнообразных фишинговых атак необходим комплексный подход, сочетающий профилактику, обнаружение, реагирование и обучение. Лицензированные организации должны укреплять свою первую линию защиты с помощью надежных решений аутентификации, оставаться бдительными к подозрительной активности и быстро реагировать, чтобы предотвратить ущерб.»
Руководство несет конечную ответственность за защиту аккаунтов
SFC напомнила руководству лицензированных компаний, что они несут окончательную ответственность за внедрение соответствующих мер для защиты аккаунтов и активов клиентов. Регулятор подчеркнул, что компании могут нести ответственность за убытки клиентов вследствие недостатков внутренних контролей. Эта политика распространяется как на интернет-брокеров, так и на платформы виртуальных активов, устанавливая единые стандарты онлайн-доступа к финансам в традиционных рынках ценных бумаг и криптовалют.
FAQ
Какие методы аутентификации должны внедрить гонконгские крипто-платформы и брокеры вместо OTP?
Компании должны перейти на более надежные методы, такие как passkeys и привязка устройств. Passkeys уменьшают зависимость от кодов, которые могут быть украдены через фишинговые страницы, а привязка устройств связывает доступ к аккаунту с доверенными устройствами.
Почему SFC приказала отказаться от входа по OTP?
Мера принята в связи с ростом атак с подделкой, которые в 2025 году составляли 57% всех зарегистрированных инцидентов безопасности по данным Центра координации кибербезопасных инцидентов Гонконга. Регулятор заявил, что аутентификация на основе OTP уже недостаточна для защиты от фишинга, impersonation и мошенничества.
Каков срок для компаний на выполнение новых требований SFC по аутентификации?
Компании имеют 12 месяцев с даты выпуска циркуляра, чтобы отказаться от OTP для входа клиентов и регистрации устройств. Крупным интернет-брокерам было поручено немедленно внедрить новые методы аутентификации.