Otoritas Sekuritas dan Futures Hong Kong telah memerintahkan platform perdagangan aset virtual berlisensi dan perusahaan pialang internet untuk menghentikan penggunaan kata sandi satu kali (OTP) dalam login pelanggan dan pendaftaran perangkat dalam waktu 12 bulan. Instruksi ini mengikuti peningkatan serangan spoofing, yang menyumbang 57% dari semua insiden keamanan yang dilaporkan pada tahun 2025 menurut data dari Pusat Koordinasi Insiden Keamanan Siber Hong Kong. Regulator menyatakan bahwa autentikasi berbasis OTP tidak lagi cukup melawan operasi phishing, impersonasi, dan penipuan yang menipu pengguna agar menyerahkan kode login, sehingga penyerang dapat mengakses akun, mendaftarkan perangkat baru, melakukan perdagangan, atau mencoba penarikan sebelum perusahaan mendeteksi kompromi.
SFC Wajibkan Passkeys dan Pengikatan Perangkat untuk Autentikasi
Sirkular tersebut mewajibkan perusahaan untuk berhenti menggunakan OTP untuk login pelanggan dan pengikatan perangkat serta beralih ke metode autentikasi yang lebih kuat seperti passkeys dan pengikatan perangkat. Regulator menyatakan bahwa implementasi harus dilakukan "secepat mungkin," dengan batas waktu akhir 12 bulan sejak tanggal penerbitan sirkular. Perusahaan pialang internet besar diminta untuk segera mengadopsi metode autentikasi baru ini. Passkeys mengurangi ketergantungan pada kode yang dapat dicuri melalui halaman phishing, sementara pengikatan perangkat menghubungkan akses akun ke perangkat terpercaya dan membuat upaya login tidak sah menjadi lebih sulit dilakukan.
Perusahaan Berlisensi Harus Perkuat Pengawasan dan Peringatan kepada Klien
Perusahaan berlisensi harus memperkuat sistem pengawasan untuk mendeteksi aktivitas login, perdagangan, dan penarikan yang mencurigakan. Artinya, mereka harus memantau pola akses yang tidak biasa, aktivitas perangkat baru, perilaku pesanan yang abnormal, dan permintaan penarikan yang mungkin menunjukkan bahwa akun telah dikompromikan. Regulator juga mewajibkan perusahaan untuk memberi tahu klien secara cepat tentang aktivitas akun yang signifikan dan merespons insiden peretasan secara tepat waktu. Edukasi pelanggan menjadi bagian dari mandat ini, dengan perusahaan diharapkan secara rutin memperingatkan pengguna tentang penipuan impersonasi, upaya phishing, dan risiko keamanan siber yang sedang berkembang.
Dr. Yip Chi-hang, Direktur Eksekutif Divisi Perantara dari SFC, mengatakan, "Untuk melindungi akun klien dari serangan phishing yang semakin canggih dan beragam, diperlukan pendekatan komprehensif yang menggabungkan pencegahan, deteksi, respons, dan edukasi. Institusi berlisensi harus memperkuat garis pertahanan pertama mereka melalui solusi autentikasi yang kokoh, tetap waspada terhadap aktivitas mencurigakan, dan merespons dengan cepat sebelum kerusakan terjadi."
Manajemen Senior Memikul Tanggung Jawab Utama atas Perlindungan Akun
SFC mengingatkan manajemen senior di perusahaan berlisensi bahwa mereka memikul tanggung jawab utama untuk pengendalian yang tepat guna melindungi akun dan aset pelanggan. Regulator menyatakan bahwa perusahaan dapat bertanggung jawab atas kerugian pelanggan yang disebabkan oleh kekurangan dalam pengendalian internal. Kebijakan ini berlaku untuk kedua platform pialang internet dan platform perdagangan aset virtual, menetapkan standar dasar yang sama untuk akses keuangan online di pasar sekuritas dan kripto tradisional.
FAQ
Metode autentikasi apa yang harus diadopsi platform kripto dan pialang Hong Kong untuk menggantikan OTP?
Perusahaan harus mengadopsi metode autentikasi yang lebih kuat seperti passkeys dan pengikatan perangkat. Passkeys mengurangi ketergantungan pada kode yang dapat dicuri melalui halaman phishing, sementara pengikatan perangkat menghubungkan akses akun ke perangkat terpercaya.
Mengapa SFC memerintahkan penghentian OTP login?
Instruksi ini mengikuti peningkatan serangan spoofing, yang menyumbang 57% dari semua insiden keamanan yang dilaporkan pada tahun 2025 menurut Pusat Koordinasi Insiden Keamanan Siber Hong Kong. Regulator menyatakan bahwa autentikasi berbasis OTP tidak lagi cukup melawan operasi phishing, impersonasi, dan penipuan.
Batas waktu apa yang diberikan kepada perusahaan untuk mematuhi persyaratan autentikasi baru dari SFC?
Perusahaan memiliki waktu 12 bulan sejak tanggal penerbitan sirkular untuk menghentikan OTP dalam login pelanggan dan pendaftaran perangkat. Perusahaan pialang internet besar diminta untuk segera mengadopsi metode autentikasi baru ini.