Гонконгський SFC зобов’язав брокерів і криптоплатформи замінити OTP на passkeys

MSFT0,33%

Комісія з цінних паперів і ф’ючерсів Гонконгу (SFC) наказала інтернет-брокерам і ліцензованим платформам торгівлі віртуальними активами замінити одноразові паролі на методи автентифікації, стійкі до фішингу, у вимогах, оприлюднених 9 липня. Компаніям потрібно впровадити посилені механізми контролю входу та прив’язки пристрою протягом 12 місяців; від більших брокерів очікують початок впровадження одразу. Директива стосується фішингових атак, які становили 57% усіх інцидентів із кібербезпеки, повідомлених Координаційним центром реагування на комп’ютерні надзвичайні ситуації Гонконгу (Hong Kong Computer Emergency Response Team Coordination Centre) протягом 2025 року. SFC зазначила, що традиційні одноразові паролі більше не є достатніми для протидії все більш витонченим фішинговим кампаніям, які націлюються на акаунти для онлайн-торгів. Цей крок підсилює підхід Гонконгу, де цифрові компанії з активами мають дотримуватися регуляторних стандартів, подібних до тих, що застосовуються до традиційних фінансових установ.

SFC заявляє, що OTP більше не достатні для захисту акаунтів

SFC повідомила, що інтернет-брокери та оператори платформ торгівлі віртуальними активами мають припинити використання одноразових паролів як для входу клієнтів, так і для прив’язки пристрою, оскільки нині широко доступні безпечніші технології автентифікації. Регулятор навів приклади стійких до фішингу методів, зокрема passkeys і прив’язку пристрою, як таких, що здатні запобігати доступу зловмисників навіть у разі, якщо клієнтів змушують розкрити свої облікові дані.

Прив’язка пристрою пов’язує торговий акаунт клієнта із надійно зареєстрованим комп’ютером або мобільним пристроєм, використовуючи унікальні характеристики пристрою, що суттєво ускладнює злочинцям вхід із неавторизованого обладнання. SFC вперше попередила компанії про слабкі місця автентифікації на основі OTP у лютому 2025 року після огляду кібербезпеки. Останній циркуляр перетворює ці рекомендації на регуляторну вимогу.

Криптоплатформи стикаються з такими самими стандартами автентифікації, як і традиційні брокери

Нова вимога поширюється однаково на ліцензованих брокерів із цінних паперів і операторів платформ торгівлі віртуальними активами. Окрім посиленої автентифікації, компаніям потрібно запровадити ефективні системи моніторингу, здатні виявляти підозрілі спроби входу, незвичну торгову активність і аномальні запити на виведення коштів. Також від них очікують, що вони оперативно повідомлятимуть клієнтів про значущі події для акаунта, швидко реагуватимуть на інциденти з хакінгом і регулярно попереджатимуть клієнтів про нові фішингові кампанії та інші кіберзагрози.

SFC зазначила, що старший керівний склад залишатиметься відповідальним у кінцевому підсумку за захист активів клієнтів, і попередила, що компанії можуть нести відповідальність за збитки, спричинені недостатніми заходами кібербезпеки. Д-р Ерік Їп (Dr Eric Yip), виконавчий директор SFC з посередників (Intermediaries), сказав: «Захист акаунтів клієнтів від дедалі більш витончених і важковловимих фішингових атак потребує комплексних заходів, які поєднують профілактику, виявлення, реагування та навчання. Ліцензовані компанії мають посилити першу лінію оборони надійними рішеннями автентифікації, залишатися пильними щодо підозрілої активності та реагувати швидко, перш ніж буде завдано шкоди».

Passkeys отримують регуляторну підтримку як технологія, стійка до фішингу

На відміну від традиційних облікових даних, passkeys спираються на криптографічну автентифікацію, прив’язану до пристрою користувача, і не можуть легко перехоплюватися або повторно використовуватися через фішингові сайти. Технологічні компанії, зокрема Apple, Google і Microsoft, уже інтегрували підтримку passkeys у свої операційні системи, тоді як банки та фінтех-компанії почали впроваджувати цю технологію для автентифікації клієнтів. Для брокерів і криптобірж посилена автентифікація стала дедалі важливішою, оскільки кіберзлочинці націлюються на торгові акаунти, які можуть надати миттєвий доступ до готівки, цінних паперів і цифрових активів.

SFC закликає інвесторів дотримуватися базових практик кібербезпеки

Окрім технічних контролів, SFC закликала інвесторів і надалі дотримуватися базових практик кібербезпеки, зокрема використовувати надійні й унікальні паролі, підтримувати пристрої в актуальному стані, отримувати доступ до акаунтів лише через офіційні вебсайти та застосунки, а також переглядати виписки з акаунта на наявність несанкціонованої активності. Регулятор порадив інвесторам, які підозрюють, що їхні облікові дані було скомпрометовано, негайно зв’язатися зі своїм брокером або платформою торгівлі віртуальними активами, захистити акаунти й повідомити про інцидент відповідні органи.

FAQ

Які методи автентифікації SFC Гонконгу наказала замінити брокерам і криптоплатформам?

SFC наказала інтернет-брокерам і ліцензованим платформам торгівлі віртуальними активами замінити одноразові паролі на методи автентифікації, стійкі до фішингу, такі як passkeys і прив’язка пристрою, у вимогах, оприлюднених 9 липня.

Чому SFC вимагала посилити автентифікацію для торгових акаунтів?

SFC послалася на фішингові атаки, які становили 57% усіх інцидентів із кібербезпеки, повідомлених Координаційним центром реагування на комп’ютерні надзвичайні ситуації Гонконгу протягом 2025 року, зазначивши, що традиційні одноразові паролі більше не є достатніми для протидії все більш витонченим фішинговим кампаніям, що націлюються на онлайн-торгові акаунти.

Який дедлайн для впровадження нових вимог щодо автентифікації?

Компаніям потрібно впровадити посилені контролі входу та прив’язки пристрою протягом 12 місяців від дати публікації 9 липня, тоді як більші брокери, як очікується, почнуть впровадження заходів одразу.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів