Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) требует прекращения использования одноразовых паролей (OTP) для крипто- и брокерских компаний в течение 12 месяцев

Комиссия по ценным бумагам и фьючерсам Гонконга приказала лицензированным платформам виртуальных активов и интернет-брокерам отказаться от одноразовых паролей для входа клиентов и регистрации устройств в течение 12 месяцев. Эта мера принята в связи с ростом числа атак с подделкой, которые в 2025 году составляли 57% всех зарегистрированных инцидентов безопасности, согласно данным Центра координации кибербезопасных инцидентов Гонконга. Регулятор отметил, что аутентификация на основе OTP уже недостаточна для защиты от фишинга, impersonation и мошеннических операций, при которых злоумышленники обманывают пользователей, заставляя их передавать коды входа, что позволяет им получить доступ к аккаунтам, регистрировать новые устройства, совершать сделки или пытаться вывести средства до обнаружения взлома.

SFC требует использования Passkeys и привязки устройств для аутентификации

Циркуляр предписывает компаниям прекратить использование OTP для входа клиентов и привязки устройств и перейти к более надежным методам аутентификации, таким как passkeys и привязка устройств. Регулятор заявил, что внедрение должно осуществляться «как можно скорее», с окончательным сроком в 12 месяцев с даты выпуска циркуляра. Крупным интернет-брокерам было поручено немедленно внедрить новые методы аутентификации. Passkeys снижают зависимость от кодов, которые могут быть украдены через фишинговые страницы, а привязка устройств связывает доступ к аккаунту с доверенными устройствами и усложняет несанкционированные попытки входа.

Лицензированные компании должны усилить контроль и информировать клиентов

Лицензированные фирмы обязаны усилить системы мониторинга для выявления подозрительной активности при входе, торговле и выводе средств. Это включает отслеживание необычных шаблонов доступа, активности новых устройств, аномального поведения при размещении ордеров и запросов на вывод, что может свидетельствовать о взломе аккаунта. Регулятор также требует своевременно уведомлять клиентов о значимых операциях и быстро реагировать на случаи взлома. Обучение клиентов входит в обязательства, компании должны регулярно предупреждать пользователей о мошенничестве с impersonation, фишинговых атаках и новых киберрисках.

Д-р Ип Чи-ханг, исполнительный директор Intermediaries Division SFC, заявил: «Для защиты аккаунтов клиентов от все более изощренных и разнообразных фишинговых атак необходим комплексный подход, сочетающий профилактику, обнаружение, реагирование и обучение. Лицензированные организации должны укреплять свою первую линию защиты с помощью надежных решений аутентификации, оставаться бдительными к подозрительной активности и быстро реагировать, чтобы предотвратить ущерб.»

Руководство несет конечную ответственность за защиту аккаунтов

SFC напомнила руководству лицензированных компаний, что они несут окончательную ответственность за внедрение соответствующих мер для защиты аккаунтов и активов клиентов. Регулятор подчеркнул, что компании могут нести ответственность за убытки клиентов вследствие недостатков внутренних контролей. Эта политика распространяется как на интернет-брокеров, так и на платформы виртуальных активов, устанавливая единые стандарты онлайн-доступа к финансам в традиционных рынках ценных бумаг и криптовалют.

FAQ

Какие методы аутентификации должны внедрить гонконгские крипто-платформы и брокеры вместо OTP?

Компании должны перейти на более надежные методы, такие как passkeys и привязка устройств. Passkeys уменьшают зависимость от кодов, которые могут быть украдены через фишинговые страницы, а привязка устройств связывает доступ к аккаунту с доверенными устройствами.

Почему SFC приказала отказаться от входа по OTP?

Мера принята в связи с ростом атак с подделкой, которые в 2025 году составляли 57% всех зарегистрированных инцидентов безопасности по данным Центра координации кибербезопасных инцидентов Гонконга. Регулятор заявил, что аутентификация на основе OTP уже недостаточна для защиты от фишинга, impersonation и мошенничества.

Каков срок для компаний на выполнение новых требований SFC по аутентификации?

Компании имеют 12 месяцев с даты выпуска циркуляра, чтобы отказаться от OTP для входа клиентов и регистрации устройств. Крупным интернет-брокерам было поручено немедленно внедрить новые методы аутентификации.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев