Гонконгский SFC предписал брокерам и криптоплатформам заменить одноразовые пароли (OTP) на Passkeys

MSFT0,33%

Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) обязала интернет-брокеров и лицензированные платформы торговли виртуальными активами заменить одноразовые пароли на устойчивые к фишингу методы аутентификации в требованиях, опубликованных 9 июля. Фирмы должны внедрить более надёжные меры контроля входа и привязки устройства в течение 12 месяцев; более крупные брокеры, как ожидается, начнут внедрение сразу. Директива затрагивает фишинговые атаки, на которые в 2025 году приходилось 57% всех киберинцидентов, о которых сообщал Координационный центр реагирования на инциденты компьютерной безопасности (Hong Kong Computer Emergency Response Team Coordination Centre). SFC заявила, что традиционные одноразовые пароли больше не достаточны для защиты от всё более изощрённых фишинговых кампаний, нацеленных на аккаунты для онлайн-торговли. Этот шаг усиливает подход Гонконга, при котором цифровые компании привлекаются к стандартам регулирования, аналогичным тем, что применяются к традиционным финансовым учреждениям.

SFC заявляет, что OTP больше не достаточны для защиты аккаунтов

SFC заявила, что интернет-брокерам и операторам платформ торговли виртуальными активами следует прекратить использование одноразовых паролей как для входа клиента в аккаунт, так и для привязки устройства, поскольку сегодня более безопасные технологии аутентификации широко доступны. Регулятор привёл в качестве примеров устойчивые к фишингу методы аутентификации passkeys (пароли/ключи доступа) и привязку устройства — технологии, которые способны не допустить злоумышленников к доступу даже в случаях, когда клиенты по ошибке раскрывают свои учётные данные.

Привязка устройства связывает торговый аккаунт клиента с надёжно зарегистрированным компьютером или мобильным устройством с использованием уникальных характеристик устройства, что существенно усложняет злоумышленникам вход с неавторизованного оборудования. SFC впервые предупредила компании о слабостях аутентификации на базе OTP в феврале 2025 года после кибербезопасностного обзора. Последний циркуляр переводит эти рекомендации в разряд регуляторного требования.

Криптоплатформы столкнутся с теми же стандартами аутентификации, что и традиционные брокеры

Новые требования распространяются в равной степени на лицензированных брокеров по ценным бумагам и операторов платформ торговли виртуальными активами. Помимо более надёжной аутентификации, фирмы должны внедрить эффективные системы мониторинга, способные выявлять подозрительные попытки входа, необычную торговую активность и аномальные запросы на вывод средств. Также ожидается, что они будут оперативно уведомлять клиентов о значимых событиях по аккаунту, быстро реагировать на инциденты взлома и регулярно предупреждать клиентов о появляющихся фишинговых кампаниях и других киберугрозах.

SFC заявила, что высшее руководство по-прежнему будет нести окончательную ответственность за защиту средств клиентов, и предупредила, что фирмы могут быть привлечены к ответственности за потери, возникающие из-за недостаточных мер кибербезопасности. Доктор Эрик Ип (Dr Eric Yip), исполнительный директор SFC по посредникам (Intermediaries), сказал: «Защита клиентских аккаунтов от всё более изощрённых и ускользающих фишинговых атак требует комплексных мер, сочетающих предотвращение, обнаружение, реагирование и обучение. Лицензированные фирмы должны усилить первую линию обороны с помощью надёжных решений по аутентификации, оставаться внимательными к подозрительной активности и действовать быстро, прежде чем будет причинён ущерб».

Passkeys получают поддержку регулятора как устойчивую к фишингу технологию

В отличие от традиционных учётных данных passkeys опираются на криптографическую аутентификацию, привязанную к устройству пользователя, и их нельзя легко перехватить или повторно использовать через фишинговые веб-сайты. Технологические компании, включая Apple, Google и Microsoft, уже встроили поддержку passkeys в свои операционные системы, в то время как банки и финтех-компании начали развёртывание этой технологии для аутентификации клиентов. Для брокеров и криптобирж усиленная аутентификация стала всё более важной, поскольку киберпреступники нацеливаются на торговые аккаунты, которые могут обеспечить мгновенный доступ к наличным, ценным бумагам и цифровым активам.

SFC призывает инвесторов следовать базовым практикам кибербезопасности

Наряду с техническими мерами SFC призвала инвесторов продолжать придерживаться базовых практик кибербезопасности, включая использование надёжных и уникальных паролей, поддержание устройств в обновлённом состоянии, доступ к аккаунтам только через официальные веб-сайты и приложения, а также проверку выписок по аккаунту на наличие несанкционированной активности. Регулятор посоветовал инвесторам, которые подозревают компрометацию своих учётных данных, немедленно связаться со своим брокером или платформой торговли виртуальными активами, обезопасить свои аккаунты и сообщить об инциденте в соответствующие органы.

FAQ

Какие методы аутентификации SFC Гонконга потребовала заменить у брокеров и криптоплатформ?

SFC обязала интернет-брокеров и лицензированные платформы торговли виртуальными активами заменить одноразовые пароли на устойчивые к фишингу методы аутентификации, такие как passkeys и привязка устройства, в требованиях, опубликованных 9 июля.

Почему SFC потребовала усилить аутентификацию для торговых аккаунтов?

SFC сослалась на фишинговые атаки, которые составляли 57% всех киберинцидентов, о которых сообщалось в Координационный центр реагирования на инциденты компьютерной безопасности Гонконга в 2025 году, заявив, что традиционные одноразовые пароли больше не достаточны для защиты от всё более изощрённых фишинговых кампаний, нацеленных на аккаунты для онлайн-торговли.

Каков срок внедрения новых требований к аутентификации?

Фирмы должны внедрить более надёжные меры контроля входа и привязки устройства в течение 12 месяцев с даты публикации требований 9 июля, при этом более крупные брокеры, как ожидается, начнут применять меры сразу.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев