Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) обязала интернет-брокеров и лицензированные платформы торговли виртуальными активами заменить одноразовые пароли на устойчивые к фишингу методы аутентификации в требованиях, опубликованных 9 июля. Фирмы должны внедрить более надёжные меры контроля входа и привязки устройства в течение 12 месяцев; более крупные брокеры, как ожидается, начнут внедрение сразу. Директива затрагивает фишинговые атаки, на которые в 2025 году приходилось 57% всех киберинцидентов, о которых сообщал Координационный центр реагирования на инциденты компьютерной безопасности (Hong Kong Computer Emergency Response Team Coordination Centre). SFC заявила, что традиционные одноразовые пароли больше не достаточны для защиты от всё более изощрённых фишинговых кампаний, нацеленных на аккаунты для онлайн-торговли. Этот шаг усиливает подход Гонконга, при котором цифровые компании привлекаются к стандартам регулирования, аналогичным тем, что применяются к традиционным финансовым учреждениям.
SFC заявила, что интернет-брокерам и операторам платформ торговли виртуальными активами следует прекратить использование одноразовых паролей как для входа клиента в аккаунт, так и для привязки устройства, поскольку сегодня более безопасные технологии аутентификации широко доступны. Регулятор привёл в качестве примеров устойчивые к фишингу методы аутентификации passkeys (пароли/ключи доступа) и привязку устройства — технологии, которые способны не допустить злоумышленников к доступу даже в случаях, когда клиенты по ошибке раскрывают свои учётные данные.
Привязка устройства связывает торговый аккаунт клиента с надёжно зарегистрированным компьютером или мобильным устройством с использованием уникальных характеристик устройства, что существенно усложняет злоумышленникам вход с неавторизованного оборудования. SFC впервые предупредила компании о слабостях аутентификации на базе OTP в феврале 2025 года после кибербезопасностного обзора. Последний циркуляр переводит эти рекомендации в разряд регуляторного требования.
Новые требования распространяются в равной степени на лицензированных брокеров по ценным бумагам и операторов платформ торговли виртуальными активами. Помимо более надёжной аутентификации, фирмы должны внедрить эффективные системы мониторинга, способные выявлять подозрительные попытки входа, необычную торговую активность и аномальные запросы на вывод средств. Также ожидается, что они будут оперативно уведомлять клиентов о значимых событиях по аккаунту, быстро реагировать на инциденты взлома и регулярно предупреждать клиентов о появляющихся фишинговых кампаниях и других киберугрозах.
SFC заявила, что высшее руководство по-прежнему будет нести окончательную ответственность за защиту средств клиентов, и предупредила, что фирмы могут быть привлечены к ответственности за потери, возникающие из-за недостаточных мер кибербезопасности. Доктор Эрик Ип (Dr Eric Yip), исполнительный директор SFC по посредникам (Intermediaries), сказал: «Защита клиентских аккаунтов от всё более изощрённых и ускользающих фишинговых атак требует комплексных мер, сочетающих предотвращение, обнаружение, реагирование и обучение. Лицензированные фирмы должны усилить первую линию обороны с помощью надёжных решений по аутентификации, оставаться внимательными к подозрительной активности и действовать быстро, прежде чем будет причинён ущерб».
В отличие от традиционных учётных данных passkeys опираются на криптографическую аутентификацию, привязанную к устройству пользователя, и их нельзя легко перехватить или повторно использовать через фишинговые веб-сайты. Технологические компании, включая Apple, Google и Microsoft, уже встроили поддержку passkeys в свои операционные системы, в то время как банки и финтех-компании начали развёртывание этой технологии для аутентификации клиентов. Для брокеров и криптобирж усиленная аутентификация стала всё более важной, поскольку киберпреступники нацеливаются на торговые аккаунты, которые могут обеспечить мгновенный доступ к наличным, ценным бумагам и цифровым активам.
Наряду с техническими мерами SFC призвала инвесторов продолжать придерживаться базовых практик кибербезопасности, включая использование надёжных и уникальных паролей, поддержание устройств в обновлённом состоянии, доступ к аккаунтам только через официальные веб-сайты и приложения, а также проверку выписок по аккаунту на наличие несанкционированной активности. Регулятор посоветовал инвесторам, которые подозревают компрометацию своих учётных данных, немедленно связаться со своим брокером или платформой торговли виртуальными активами, обезопасить свои аккаунты и сообщить об инциденте в соответствующие органы.
Какие методы аутентификации SFC Гонконга потребовала заменить у брокеров и криптоплатформ?
SFC обязала интернет-брокеров и лицензированные платформы торговли виртуальными активами заменить одноразовые пароли на устойчивые к фишингу методы аутентификации, такие как passkeys и привязка устройства, в требованиях, опубликованных 9 июля.
Почему SFC потребовала усилить аутентификацию для торговых аккаунтов?
SFC сослалась на фишинговые атаки, которые составляли 57% всех киберинцидентов, о которых сообщалось в Координационный центр реагирования на инциденты компьютерной безопасности Гонконга в 2025 году, заявив, что традиционные одноразовые пароли больше не достаточны для защиты от всё более изощрённых фишинговых кампаний, нацеленных на аккаунты для онлайн-торговли.
Каков срок внедрения новых требований к аутентификации?
Фирмы должны внедрить более надёжные меры контроля входа и привязки устройства в течение 12 месяцев с даты публикации требований 9 июля, при этом более крупные брокеры, как ожидается, начнут применять меры сразу.
Связанные новости
FSC предписывает компаниям, занимающимся ценными бумагами, представить планы по защите инвесторов до 13 июля
Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) требует прекращения использования одноразовых паролей (OTP) для крипто- и брокерских компаний в течение 12 месяцев
Центр политики Hyperliquid и Phantom призывают CFTC обновить правила ончейн-трейдинга
Гонконгский SFC (Комиссия по ценным бумагам и фьючерсам) запрещает OTP для крипто-платформ из-за роста фишинговых атак