Komisi Sekuritas dan Berjangka Hong Kong memerintahkan pialang internet dan platform perdagangan aset virtual berlisensi untuk mengganti password sekali pakai (OTP) dengan metode autentikasi yang tahan terhadap phishing dalam ketentuan yang diterbitkan pada 9 Juli. Perusahaan harus menerapkan kontrol login yang lebih kuat serta pengikatan perangkat dalam 12 bulan, dengan pialang yang lebih besar diharapkan memulai adopsi segera. Arahan ini menargetkan serangan phishing yang menyumbang 57% dari semua insiden siber yang dilaporkan ke Hong Kong Computer Emergency Response Team Coordination Centre selama 2025. SFC mengatakan OTP tradisional sudah tidak lagi cukup menghadapi kampanye phishing yang kian canggih yang menargetkan akun perdagangan online. Langkah ini memperkuat pendekatan Hong Kong dalam menetapkan standar regulasi bagi perusahaan aset digital yang setara dengan yang diterapkan pada institusi keuangan tradisional.
SFC Menyatakan OTP Tidak Lagi Cukup untuk Perlindungan Akun
SFC mengatakan pialang internet dan operator platform perdagangan aset virtual harus menghentikan penggunaan password sekali pakai untuk login klien maupun pengikatan perangkat karena teknologi autentikasi yang lebih aman kini sudah tersedia luas. Regulator mencontohkan passkey dan device binding sebagai metode autentikasi yang tahan terhadap phishing dan mampu mencegah penyerang mengakses bahkan ketika klien tertipu untuk membocorkan kredensial mereka.
Device binding mengaitkan akun perdagangan pelanggan dengan komputer atau perangkat seluler yang terdaftar secara aman menggunakan karakteristik perangkat unik, sehingga secara signifikan mempersulit penjahat untuk login dari perangkat keras yang tidak berwenang. SFC pertama kali memperingatkan perusahaan tentang kelemahan yang terkait dengan autentikasi berbasis OTP pada Februari 2025 setelah peninjauan siber. Surat edaran terbaru mengubah panduan tersebut menjadi kewajiban regulatori.
Platform Kripto Menghadapi Standar Autentikasi yang Sama Seperti Pialang Tradisional
Ketentuan baru berlaku setara untuk pialang sekuritas berlisensi dan operator platform perdagangan aset virtual. Di luar autentikasi yang lebih kuat, perusahaan harus memperkenalkan sistem pemantauan yang efektif untuk mendeteksi percobaan login mencurigakan, aktivitas perdagangan yang tidak biasa, serta permintaan penarikan yang tidak wajar. Mereka juga diharapkan memberi tahu klien dengan cepat atas peristiwa penting pada akun, merespons insiden peretasan secara cepat, serta secara rutin mengingatkan pelanggan tentang kampanye phishing yang muncul dan ancaman siber lainnya.
SFC mengatakan manajemen senior akan tetap bertanggung jawab pada akhirnya untuk melindungi aset klien dan memperingatkan bahwa perusahaan dapat dimintai pertanggungjawaban atas kerugian akibat kontrol siber yang tidak memadai. Dr. Eric Yip, Direktur Eksekutif Intermediaries SFC, mengatakan: "Melindungi akun klien dari serangan phishing yang makin canggih dan sulit dilacak memerlukan langkah menyeluruh yang menggabungkan pencegahan, deteksi, respons, dan edukasi. Perusahaan berlisensi harus memperkuat garis pertahanan pertama mereka dengan solusi autentikasi yang tangguh, tetap waspada terhadap aktivitas mencurigakan, dan merespons secara cepat sebelum dampak buruk terjadi."
Passkeys Mendapat Dukungan Regulasi sebagai Teknologi Tahan Phishing
Berbeda dari kredensial tradisional, passkey mengandalkan autentikasi kriptografis yang terkait dengan perangkat pengguna dan tidak mudah dicegat atau digunakan ulang melalui situs phishing. Perusahaan teknologi termasuk Apple, Google, dan Microsoft telah memasukkan dukungan passkey ke sistem operasi mereka, sementara bank dan perusahaan fintech mulai menerapkan teknologi tersebut untuk autentikasi pelanggan. Bagi pialang dan bursa kripto, autentikasi yang lebih kuat menjadi semakin penting karena penjahat siber menargetkan akun perdagangan yang dapat memberikan akses langsung ke uang tunai, sekuritas, dan aset digital.
SFC Mendesak Investor untuk Mengikuti Praktik Dasar Keamanan Siber
Di samping kontrol teknis, SFC mendesak investor untuk terus mengikuti praktik dasar keamanan siber, termasuk menggunakan kata sandi yang kuat dan unik, menjaga perangkat tetap diperbarui, mengakses akun hanya melalui situs web dan aplikasi resmi, serta meninjau laporan akun untuk aktivitas yang tidak diotorisasi. Regulator menyarankan investor yang menduga kredensial mereka telah dikompromikan untuk segera menghubungi pialang atau platform aset virtual mereka, mengamankan akun, serta melaporkan insiden tersebut kepada otoritas terkait.
FAQ
Metode autentikasi apa yang diperintahkan SFC Hong Kong untuk diganti oleh pialang dan platform kripto?
SFC memerintahkan pialang internet dan platform perdagangan aset virtual berlisensi untuk mengganti password sekali pakai dengan metode autentikasi yang tahan terhadap phishing seperti passkeys dan device binding dalam ketentuan yang diterbitkan pada 9 Juli.
Mengapa SFC meminta autentikasi yang lebih kuat untuk akun perdagangan?
SFC menyebut serangan phishing yang menyumbang 57% dari semua insiden keamanan siber yang dilaporkan ke Hong Kong Computer Emergency Response Team Coordination Centre selama 2025, dengan menyatakan bahwa password sekali pakai tradisional tidak lagi cukup menghadapi kampanye phishing yang kian canggih yang menargetkan akun perdagangan online.
Apa batas waktu implementasi untuk persyaratan autentikasi baru?
Perusahaan harus menerapkan kontrol login yang lebih kuat dan pengikatan perangkat dalam 12 bulan sejak tanggal publikasi 9 Juli, sementara pialang yang lebih besar diharapkan mulai mengadopsi langkah-langkah tersebut segera.